Creazione di un profilo dell'istanza Verifica delle autorizzazioni assegnate al profilo dell'istanza Aggiornamento di un profilo di istanza out-of-date predefinito Aggiunta delle autorizzazioni al profilo dell'istanza predefinito

Gestione dei profili dell'istanza Elastic Beanstalk

Un profilo di istanza è un contenitore per un ruolo AWS Identity and Access Management (IAM) che puoi utilizzare per passare informazioni sul ruolo a un'istanza Amazon EC2 all'avvio dell'istanza.

Se il tuo AWS account non dispone di un profilo di istanza EC2, devi crearne uno utilizzando il servizio IAM. Potrai quindi assegnare il profilo dell'istanza EC2 ai nuovi ambienti che vengono creati. La procedura guidata Creazione dell'ambiente fornisce informazioni per guidare l'utente all'interno del servizio IAM, in modo da poter creare un profilo dell'istanza EC2 con le autorizzazioni richieste. Dopo aver creato il profilo dell'istanza, potrai tornare alla console per selezionarlo come profilo dell'istanza EC2 e procedere con i passaggi per creare il tuo ambiente.

Nota

In precedenza Elastic Beanstalk creava un aws-elasticbeanstalk-ec2-role profilo di istanza EC2 predefinito denominato la prima volta AWS che un account creava un ambiente. Questo profilo dell'istanza includeva le policy gestite predefinite. Se il tuo account dispone già di questo profilo dell'istanza, rimarrà disponibile per poter essere assegnata ai tuoi ambienti.

Tuttavia, le recenti linee guida AWS sulla sicurezza non consentono a un AWS servizio di creare automaticamente ruoli con policy di fiducia per altri AWS servizi, in questo caso EC2. A causa di queste linee guida sulla sicurezza, Elastic Beanstalk non crea più un profilo dell'istanza aws-elasticbeanstalk-ec2-role predefinito.

Policy gestite

Elastic Beanstalk fornisce diverse policy gestite per consentire all'ambiente di soddisfare diversi casi d'uso. Per soddisfare i casi d'uso predefiniti per un ambiente, queste policy devono essere associate al ruolo per il profilo dell'istanza EC2.

AWSElasticBeanstalkWebTier— Concede all'applicazione le autorizzazioni per caricare i log su Amazon S3 e le informazioni di debug su. AWS X-RayPer visualizzare il contenuto della policy gestita, consulta la Managed Policy Reference Guide AWSElasticBeanstalkWebTier.AWS
AWSElasticBeanstalkWorkerTier— Concede le autorizzazioni per il caricamento dei log, il debug, la pubblicazione delle metriche e le attività relative alle istanze di lavoro, tra cui la gestione delle code, l'elezione dei leader e le attività periodiche. Per visualizzare il contenuto delle policy gestite, consulta la Managed Policy Reference Guide. AWSElasticBeanstalkWorkerTierAWS
AWSElasticBeanstalkMulticontainerDocker— Concede le autorizzazioni ad Amazon Elastic Container Service per coordinare le attività del cluster per gli ambienti Docker. Per visualizzare il contenuto delle policy gestite, consulta la AWS Managed Policy AWSElasticBeanstalkMulticontainerDockerReference Guide.

Importante

Le policy gestite da Elastic Beanstalk non forniscono autorizzazioni granulari, ma concedono tutte le autorizzazioni potenzialmente necessarie per lavorare con le applicazioni Elastic Beanstalk. In alcuni casi potresti voler limitare ulteriormente le autorizzazioni delle nostre politiche gestite. Per un esempio di un caso d'uso, vediImpedire l'accesso ai bucket Amazon S3 tra ambienti.

Inoltre, le nostre policy gestite non coprono le autorizzazioni per le risorse personalizzate che potresti aggiungere alla soluzione e che non sono gestite da Elastic Beanstalk. Per implementare autorizzazioni più granulari, autorizzazioni minime richieste o autorizzazioni a livello di risorsa personalizzate, utilizza le policy personalizzate.

Policy sulle relazioni di attendibilità per EC2

Per permettere alle istanze EC2 nell'ambiente di assumere il ruolo richiesto, il profilo dell'istanza deve specificare Amazon EC2 come entità attendibile nella policy di relazione di attendibilità, come riportato di seguito.


{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Per personalizzare le autorizzazioni, puoi aggiungere policy al ruolo collegato al profilo dell'istanza predefinito oppure creare un profilo dell'istanza personalizzato con un gruppo limitato di autorizzazioni.

Sections

Creazione di un profilo dell'istanza
Verifica delle autorizzazioni assegnate al profilo dell'istanza
Aggiornamento di un profilo di istanza out-of-date predefinito
Aggiunta delle autorizzazioni al profilo dell'istanza predefinito

Creazione di un profilo dell'istanza

Un profilo dell'istanza è un wrapper intorno a un ruolo IAM standard che permette a un'istanza EC2 di assumere il ruolo. Puoi creare profili di istanza aggiuntivi per personalizzare le autorizzazioni per diverse applicazioni. In alternativa, puoi creare un profilo dell'istanza che non concede le autorizzazioni per gli ambienti Docker gestiti da ECS o a livello ruolo di lavoro, se non utilizzi queste funzionalità.

Come creare un profilo dell’istanza

Apri la pagina Roles (Ruoli) nella console IAM.
Scegliere Crea ruolo.
In Tipo di entità attendibile, scegli Servizio AWS .
Per Use case (Caso d'uso), seleziona EC2.
Seleziona Successivo.
Collega le policy gestite appropriate di Elastic Beanstalk e tutte le altre policy che forniscono le autorizzazioni necessarie per la tua applicazione.
Seleziona Successivo.
Inserisci un nome per il ruolo.
(Facoltativo) Aggiungi i tag al ruolo.
Scegli Crea ruolo.

Verifica delle autorizzazioni assegnate al profilo dell'istanza

Le autorizzazioni assegnate al profilo dell'istanza predefinito possono variare in base al momento in cui è stato creato, all'ultima volta in cui hai avviato un ambiente e al client che hai utilizzato. Puoi verificare le autorizzazioni per il profilo dell'istanza predefinito nella console IAM.

Per verificare le autorizzazioni del profilo dell'istanza predefinito

Apri la pagina Roles (Ruoli) nella console IAM.
Scegli il ruolo assegnato come profilo dell'istanza EC2.
Nella scheda Permissions (Autorizzazioni), esamina l'elenco delle policy collegate al ruolo.
Per visualizzare le autorizzazioni concesse da una policy, scegli la policy.

Aggiornamento di un profilo di istanza out-of-date predefinito

Se il profilo dell'istanza predefinito non dispone delle autorizzazioni necessarie, puoi aggiungere manualmente le policy gestite al ruolo assegnato come profilo dell'istanza EC2.

Per aggiungere policy gestite al ruolo collegato al profilo dell'istanza predefinito

Apri la pagina Roles (Ruoli) nella console IAM.
Scegli il ruolo assegnato come profilo dell'istanza EC2.
Nella scheda Autorizzazioni, scegli Collega policy.
Digita AWSElasticBeanstalk per filtrare le policy.
Seleziona le policy seguenti e scegli Collega policy:
- AWSElasticBeanstalkWebTier
- AWSElasticBeanstalkWorkerTier
- AWSElasticBeanstalkMulticontainerDocker

Aggiunta delle autorizzazioni al profilo dell'istanza predefinito

Se la tua applicazione accede ad AWS API o risorse a cui non sono concesse le autorizzazioni nel profilo di istanza predefinito, aggiungi politiche che concedono le autorizzazioni nella console IAM.

Per aggiungere policy al ruolo collegato al profilo dell'istanza predefinito

Aprire la pagina Roles (Ruoli) nella console IAM.
Scegli il ruolo assegnato come profilo dell'istanza EC2.
Nella scheda Autorizzazioni, scegli Collega policy.
Seleziona la policy gestita per i servizi aggiuntivi utilizzati dall'applicazione. Ad esempio AmazonS3FullAccess o AmazonDynamoDBFullAccess.
Scegli Collega policy.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

IAM

Ruoli di servizio