Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mengelola peran layanan Elastic Beanstalk
Untuk mengelola dan memantau lingkungan Anda, AWS Elastic Beanstalk lakukan tindakan terhadap sumber daya lingkungan atas nama Anda. Elastic Beanstalk memerlukan izin tertentu untuk melakukan tindakan ini, dan mengasumsikan peran layanan (IAM) AWS Identity and Access Management untuk mendapatkan izin ini.
Elastic Beanstalk perlu menggunakan kredensial keamanan sementara setiap kali mengasumsikan peran layanan. Untuk mendapatkan kredensial ini, Elastic Beanstalk mengirimkan permintaan ke AWS Security Token Service (AWS STS) pada titik akhir tertentu Wilayah. Untuk informasi lebih lanjut, lihat Kredensial Keamanan Sementara dalam Panduan Pengguna IAM.
catatan
Jika AWS STS titik akhir untuk Wilayah tempat lingkungan Anda berada dinonaktifkan, Elastic Beanstalk mengirimkan permintaan pada titik akhir alternatif yang tidak dapat dinonaktifkan. Titik akhir ini dikaitkan dengan Wilayah yang berbeda. Oleh karena itu, permintaan adalah permintaan lintas-wilayah. Untuk informasi selengkapnya, lihat Mengaktifkan dan Menonaktifkan AWS STS di AWS Wilayah di Panduan Pengguna IAM.
Mengelola peran layanan menggunakan konsol Elastic Beanstalk dan EB CLI
Anda dapat menggunakan konsol Elastic Beanstalk dan EB CLI untuk mengatur peran layanan untuk lingkungan Anda dengan seperangkat izin yang memadai. Mereka membuat peran layanan default dan menggunakan kebijakan terkelola di dalamnya.
Kebijakan peran layanan yang terkelola
Elastic Beanstalk menyediakan satu kebijakan yang dikelola untuk pemantauan kondisi yang ditingkatkan, dan satu lagi dengan izin tambahan yang diperlukan untuk Pembaruan platform yang terkelola. Konsol dan EB CLI menetapkan kedua kebijakan ini untuk peran layanan default yang mereka buat untuk Anda. Kebijakan ini hanya boleh digunakan untuk peran layanan default ini. Mereka tidak boleh digunakan dengan pengguna lain atau peran dalam akun Anda.
Kebijakan ini memberikan izin untuk Elastic Beanstalk untuk memantau instans dan kondisi lingkungan.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetHealth",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:GetConsoleOutput",
"ec2:AssociateAddress",
"ec2:DescribeAddresses",
"ec2:DescribeSecurityGroups",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeScalingActivities",
"autoscaling:DescribeNotificationConfigurations",
"sns:Publish"
],
"Resource": [
"*"
]
}
]
}Kebijakan ini memberikan izin untuk Elastic Beanstalk untuk memperbarui lingkungan atas nama Anda untuk melakukan pembaruan platform yang terkelola.
Pengelompokan izin tingkat layanan
Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.
-
ElasticBeanstalkPermissions– Kelompok izin ini adalah untuk memanggil tindakan layanan Elastic Beanstalk (API Elastic Beanstalk). -
AllowPassRoleToElasticBeanstalkAndDownstreamServices– Kelompok izin ini mengizinkan peran apa pun untuk diteruskan ke Elastic Beanstalk dan ke layanan hilir lainnya seperti AWS CloudFormation. -
ReadOnlyPermissions– Kelompok izin ini adalah untuk mengumpulkan informasi tentang lingkungan berjalan. -
*OperationPermissions– Grup dengan pola penamaan ini adalah untuk memanggil operasi yang diperlukan untuk melakukan pembaruan platform. -
*BroadOperationPermissions– Grup dengan pola penamaan ini adalah untuk memanggil operasi yang diperlukan untuk melakukan pembaruan platform. Mereka juga menyertakan izin yang luas untuk mendukung lingkungan lama. -
*TagResource— Grup dengan pola penamaan ini adalah untuk panggilan yang menggunakan tag-on-create API untuk melampirkan tag pada sumber daya yang sedang dibuat di lingkungan Elastic Beanstalk.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ElasticBeanstalkPermissions",
"Effect": "Allow",
"Action": [
"elasticbeanstalk:*"
],
"Resource": "*"
},
{
"Sid": "AllowPassRoleToElasticBeanstalkAndDownstreamServices",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"elasticbeanstalk.amazonaws.com",
"ec2.amazonaws.com",
"ec2.amazonaws.com.cn",
"autoscaling.amazonaws.com",
"elasticloadbalancing.amazonaws.com",
"ecs.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "ReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeLaunchConfigurations",
"autoscaling:DescribeLoadBalancers",
"autoscaling:DescribeNotificationConfigurations",
"autoscaling:DescribeScalingActivities",
"autoscaling:DescribeScheduledActions",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeSubnets",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcs",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"logs:DescribeLogGroups",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeOrderableDBInstanceOptions",
"sns:ListSubscriptionsByTopic"
],
"Resource": [
"*"
]
},
{
"Sid": "EC2BroadOperationPermissions",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateSecurityGroup",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteLaunchTemplateVersions",
"ec2:DeleteSecurityGroup",
"ec2:DisassociateAddress",
"ec2:ReleaseAddress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*"
},
{
"Sid": "EC2RunInstancesOperationPermissions",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "*",
"Condition": {
"ArnLike": {
"ec2:LaunchTemplate": "arn:aws:ec2:*:*:launch-template/*"
}
}
},
{
"Sid": "EC2TerminateInstancesOperationPermissions",
"Effect": "Allow",
"Action": [
"ec2:TerminateInstances"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-id": [
"arn:aws:cloudformation:*:*:stack/awseb-e-*",
"arn:aws:cloudformation:*:*:stack/eb-*"
]
}
}
},
{
"Sid": "ECSBroadOperationPermissions",
"Effect": "Allow",
"Action": [
"ecs:CreateCluster",
"ecs:DescribeClusters",
"ecs:RegisterTaskDefinition"
],
"Resource": "*"
},
{
"Sid": "ECSDeleteClusterOperationPermissions",
"Effect": "Allow",
"Action": "ecs:DeleteCluster",
"Resource": "arn:aws:ecs:*:*:cluster/awseb-*"
},
{
"Sid": "ASGOperationPermissions",
"Effect": "Allow",
"Action": [
"autoscaling:AttachInstances",
"autoscaling:CreateAutoScalingGroup",
"autoscaling:CreateLaunchConfiguration",
"autoscaling:CreateOrUpdateTags",
"autoscaling:DeleteLaunchConfiguration",
"autoscaling:DeleteAutoScalingGroup",
"autoscaling:DeleteScheduledAction",
"autoscaling:DetachInstances",
"autoscaling:DeletePolicy",
"autoscaling:PutScalingPolicy",
"autoscaling:PutScheduledUpdateGroupAction",
"autoscaling:PutNotificationConfiguration",
"autoscaling:ResumeProcesses",
"autoscaling:SetDesiredCapacity",
"autoscaling:SuspendProcesses",
"autoscaling:TerminateInstanceInAutoScalingGroup",
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/awseb-e-*",
"arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/eb-*",
"arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/awseb-e-*",
"arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/eb-*"
]
},
{
"Sid": "CFNOperationPermissions",
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/awseb-*",
"arn:aws:cloudformation:*:*:stack/eb-*"
]
},
{
"Sid": "ELBOperationPermissions",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:targetgroup/awseb-*",
"arn:aws:elasticloadbalancing:*:*:targetgroup/eb-*",
"arn:aws:elasticloadbalancing:*:*:loadbalancer/awseb-*",
"arn:aws:elasticloadbalancing:*:*:loadbalancer/eb-*",
"arn:aws:elasticloadbalancing:*:*:loadbalancer/*/awseb-*/*",
"arn:aws:elasticloadbalancing:*:*:loadbalancer/*/eb-*/*"
]
},
{
"Sid": "CWLogsOperationPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/elasticbeanstalk/*"
},
{
"Sid": "S3ObjectOperationPermissions",
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl"
],
"Resource": "arn:aws:s3:::elasticbeanstalk-*/*"
},
{
"Sid": "S3BucketOperationPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::elasticbeanstalk-*"
},
{
"Sid": "SNSOperationPermissions",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:Subscribe"
],
"Resource": "arn:aws:sns:*:*:ElasticBeanstalkNotifications-*"
},
{
"Sid": "SQSOperationPermissions",
"Effect": "Allow",
"Action": [
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl"
],
"Resource": [
"arn:aws:sqs:*:*:awseb-e-*",
"arn:aws:sqs:*:*:eb-*"
]
},
{
"Sid": "CWPutMetricAlarmOperationPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:awseb-*",
"arn:aws:cloudwatch:*:*:alarm:eb-*"
]
},
{
"Sid": "AllowECSTagResource",
"Effect": "Allow",
"Action": [
"ecs:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:CreateAction": [
"CreateCluster",
"RegisterTaskDefinition"
]
}
}
}
]
}Untuk melihat konten kebijakan terkelola, Anda juga dapat menggunakan halaman Kebijakan
penting
Kebijakan terkelola Elastic Beanstalk tidak memberikan izin terperinci—mereka memberikan semua izin yang berpotensi diperlukan untuk bekerja dengan aplikasi Elastic Beanstalk. Dalam beberapa kasus, Anda mungkin ingin membatasi izin kebijakan terkelola kami lebih lanjut. Untuk contoh satu kasus penggunaan, lihatMencegah akses bucket Amazon S3 lintas lingkungan.
Kebijakan terkelola kami juga tidak mencakup izin ke sumber daya khusus yang mungkin Anda tambahkan ke solusi Anda, dan yang tidak dikelola oleh Elastic Beanstalk. Untuk menerapkan izin yang lebih rinci, izin minimum yang diperlukan, atau izin sumber daya kustom, gunakan kebijakan khusus.
Kebijakan terkelola tidak lagi digunakan
Di masa lalu, Elastic Beanstalk AWSElasticBeanstalkServicemendukung kebijakan peran layanan terkelola. Kebijakan ini telah digantikan oleh AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy. Anda mungkin masih dapat melihat dan menggunakan kebijakan sebelumnya di konsol IAM.
Untuk melihat konten kebijakan terkelola, lihat AWSElasticBeanstalkServicedi Panduan Referensi Kebijakan AWS Terkelola.
Namun, kami menyarankan agar Anda beralih menggunakan kebijakan terkelola (AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy) yang baru. Tambahkan kebijakan kustom untuk memberikan izin ke sumber daya kustom, jika ada.
Menggunakan konsol Elastic Beanstalk
Ketika Anda meluncurkan lingkungan di konsol Elastic Beanstalk, konsol menciptakan peran layanan default yang bernama aws-elasticbeanstalk-service-role, dan melampirkan kebijakan terkelola dengan izin default untuk peran layanan ini.
Mengizinkan Elastic Beanstalk untuk mengasumsikan peran aws-elasticbeanstalk-service-role, peran layanan menentukan Elastic Beanstalk sebagai entitas terpercaya dalam kebijakan hubungan kepercayaan.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "elasticbeanstalk.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "elasticbeanstalk"
}
}
}
]
}Saat Anda mengaktifkan Pembaruan platform terkelola untuk lingkungan Anda, Elastic Beanstalk mengasumsikan peran layanan pembaruan terkelola terpisah untuk melakukan pembaruan terkelola. Secara default, konsol Elastic Beanstalk menggunakan peran layanan yang dihasilkan sama, aws-elasticbeanstalk-service-role, untuk peran layanan pembaruan terkelola. Jika Anda mengubah peran layanan default, konsol menetapkan peran layanan pembaruan terkelola untuk menggunakan peran yang terhubung dengan layanan pembaruan yang dikelola, AWSServiceRoleForElasticBeanstalkManagedUpdates. Untuk informasi selengkapnya tentang peran yang terhubung dengan layanan, lihat Menggunakan peran yang terhubung dengan layanan.
catatan
Karena masalah izin, layanan Elastic Beanstalk tidak selalu berhasil membuat peran yang terhubung dengan layanan ini untuk Anda. Oleh karena itu, konsol mencoba untuk secara eksplisit membuat itu. Untuk memastikan akun Anda memiliki peran yang terhubung dengan layanan ini, buat lingkungan setidaknya sekali menggunakan konsol, dan mengonfigurasi pembaruan terkelola agar diaktifkan sebelum Anda membuat lingkungan.
Penggunaan EB CLI
Jika Anda meluncurkan lingkungan menggunakan perintah eb create dari Elastic Beanstalk Command Line Interface (EB CLI) dan tidak menentukan peran layanan melalui pilihan --service-role, Elastic Beanstalk menciptakan peran layanan default aws-elasticbeanstalk-service-role. Jika peran layanan default sudah ada, Elastic Beanstalk menggunakannya untuk lingkungan baru. Konsol Elastic Beanstalk juga melakukan tindakan serupa dalam situasi ini.
Tidak seperti di konsol, Anda tidak dapat menentukan peran layanan pembaruan terkelola saat menggunakan opsi perintah EB CLI. Jika Anda mengaktifkan pembaruan terkelola untuk lingkungan Anda, Anda harus menetapkan peran layanan pembaruan dikelola meskipun opsi konfigurasi. Contoh berikut memungkinkan pembaruan terkelola dan menggunakan peran layanan default sebagai peran layanan pembaruan terkelola.
contoh .ebextensions/ .config managed-platform-update
option_settings:
aws:elasticbeanstalk:managedactions:
ManagedActionsEnabled: true
PreferredStartTime: "Tue:09:00"
ServiceRoleForManagedUpdates: "aws-elasticbeanstalk-service-role"
aws:elasticbeanstalk:managedactions:platformupdate:
UpdateLevel: patch
InstanceRefreshEnabled: trueMengelola peran layanan menggunakan API Elastic Beanstalk
Ketika Anda menggunakan tindakan CreateEnvironment dari API Elastic Beanstalk untuk menciptakan lingkungan, menentukan peran layanan menggunakan pilihan konfigurasi ServiceRole di namespace aws:elasticbeanstalk:environment. Untuk informasi lebih lanjut tentang penggunaan pemantauan kondis yang ditingkatkan dengan API Elastic Beanstalk, lihat Menggunakan pelaporan kondisi yang ditingkatkan dengan API Elastic Beanstalk.
Selain itu, jika Anda mengaktifkan pembaruan platform terkelola untuk lingkungan Anda, Anda dapat menentukan peran layanan pembaruan terkelola menggunakan pilihan ServiceRoleForManagedUpdates dari namespace aws:elasticbeanstalk:managedactions.
Menggunakan peran yang terhubung dengan layanan
Peran terkait layanan adalah jenis peran layanan unik yang telah ditentukan sebelumnya oleh Elastic Beanstalk untuk menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS Peran terkait layanan berkaitan dengan akun Anda. Elastic Beanstalk menciptakannya sekali, kemudian menggunakannya kembali saat menciptakan lingkungan tambahan. Untuk informasi selengkapnya tentang penggunaan peran yang terhubung dengan layanan dengan lingkungan Elastic Beanstalk, lihat Menggunakan peran yang terhubung dengan layanan untuk Elastic Beanstalk.
Jika Anda membuat lingkungan dengan menggunakan API Elastic Beanstalk dan tidak menentukan peran layanan, Elastic Beanstalk membuat peran yang terhubung dengan layanan pemantauan untuk akun Anda, jika salah satu belum ada. Elastic Beanstalk menggunakan peran ini untuk lingkungan baru. Anda juga dapat menggunakan IAM untuk membuat peran yang terhubung dengan layanan pemantauan untuk akun Anda terlebih dahulu. Setelah akun Anda memiliki peran ini, Anda dapat menggunakannya untuk membuat lingkungan menggunakan API Elastic Beanstalk, konsol Elastic Beanstalk, atau EB CLI.
Jika Anda mengaktifkan pembaruan platform terkelola untuk lingkungan dan tentukan AWSServiceRoleForElasticBeanstalkManagedUpdates sebagai nilai untuk opsi ServiceRoleForManagedUpdates dari namespace aws:elasticbeanstalk:managedactions, Elastic Beanstalk membuat peran yang terhubung dengan layanan pembaruan terkelola untuk akun Anda, jika salah satu belum ada. Elastic Beanstalk menggunakan peran untuk melakukan pembaruan terkelola untuk lingkungan baru.
catatan
Ketika Elastic Beanstalk mencoba membuat peran yang terhubung dengan layanan pemantauan dan pembaruan terkelola untuk akun Anda saat membuat lingkungan, Anda harus memiliki izin iam:CreateServiceLinkedRole. Jika Anda tidak memiliki izin ini, penciptaan lingkungan gagal, dan pesan yang menjelaskan masalah akan ditampilkan.
Sebagai alternatif, pengguna lain dengan izin untuk membuat peran yang terhubung dengan layanan dapat menggunakan IAM untuk membuat peran yang terhubung dengan layanan terlebih dahulu. Menggunakan metode ini, Anda tidak perlu izin iam:CreateServiceLinkedRole untuk menciptakan lingkungan Anda.
Memverifikasi izin peran layanan default
Izin yang diberikan oleh peran layanan default dapat bervariasi berdasarkan kapan dibuat, terakhir kali Anda meluncurkan lingkungan, dan klien mana yang Anda gunakan. Di konsol IAM, Anda dapat memverifikasi izin yang diberikan oleh peran layanan default.
Untuk memverifikasi izin peran layanan default
-
Di konsol IAM, buka halaman Peran
. -
Pilih aws-elasticbeanstalk-service-role.
-
Pada tab Izin, tinjau daftar kebijakan yang dilampirkan pada peran.
-
Untuk melihat izin yang diberikan kebijakan, pilih kebijakan.
Memperbarui peran layanan out-of-date default
Jika peran layanan default tidak memiliki izin yang diperlukan, Anda dapat memperbaruinya dengan Membuat lingkungan baru di konsol manajemen lingkungan Elastic Beanstalk.
Atau, Anda dapat secara manual menambahkan kebijakan terkelola ke peran layanan default.
Menambahkan kebijakan terkelola ke peran layanan default
-
Di konsol IAM, buka halaman Peran
. -
Pilih aws-elasticbeanstalk-service-role.
-
Di tab Izin, klik Lampirkan kebijakan.
-
Masukkan
AWSElasticBeanstalkuntuk memfilter kebijakan. -
Pilih kebijakan berikut, dan kemudian pilih Lampirkan kebijakan:
-
AWSElasticBeanstalkEnhancedHealth -
AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy
-
Menambahkan izin ke peran layanan default
Jika aplikasi Anda menyertakan file konfigurasi yang merujuk ke AWS sumber daya yang tidak disertakan izin dalam peran layanan default, Elastic Beanstalk mungkin memerlukan izin tambahan. Izin tambahan ini diperlukan untuk menyelesaikan referensi ini ketika proses file konfigurasi selama pembaruan yang terkelola. Jika izin hilang, pembaruan gagal, dan Elastic Beanstalk mengembalikan pesan yang menunjukkan izin yang dibutuhkan. Ikuti langkah-langkah untuk menambahkan izin untuk layanan tambahan untuk peran layanan default di konsol IAM.
Untuk menambahkan kebijakan tambahan ke peran layanan default
-
Di konsol IAM, buka halaman Peran
. -
Pilih aws-elasticbeanstalk-service-role.
-
Di tab Izin, pilih Lampirkan kebijakan.
-
Pilih kebijakan terkelola untuk layanan tambahan yang digunakan aplikasi Anda. Misalnya,
AmazonAPIGatewayAdministratoratauAmazonElasticFileSystemFullAccess. -
Pilih Pasang kebijakan.
Membuat peran layanan
Jika Anda tidak dapat menggunakan peran layanan default, buat peran layanan.
Membuat peran layanan
-
Di konsol IAM, buka halaman Peran
. -
Pilih Buat peran.
-
Di bawah layanan AWS , pilihAWS Elastic Beanstalk, lalu pilih kasus penggunaan Anda.
-
Pilih Berikutnya: Izin.
-
Pasang kebijakan terkelola
AWSElasticBeanstalkManagedUpdatesCustomerRolePolicydanAWSElasticBeanstalkEnhancedHealthdan kebijakan tambahan apa pun yang memberikan izin yang diperlukan aplikasi Anda. -
Pilih Berikutnya: Tag.
-
(Opsional) Tambahkan tag ke peran.
-
Pilih Berikutnya: Tinjauan.
-
Masukkan nama untuk peran.
-
Pilih Buat peran.
Terapkan peran layanan kustom Anda ketika Anda membuat lingkungan baik menggunakan wizard pembuatan lingkungan atau dengan pilihan --service-role untuk perintah eb create.
