Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione dei ruoli del servizio Elastic Beanstalk
Per gestire e monitorare l'ambiente, AWS Elastic Beanstalk esegue azioni sulle risorse ambientali per conto dell'utente. Elastic Beanstalk necessita di determinate autorizzazioni per eseguire queste azioni e AWS Identity and Access Management presuppone ruoli di servizio (IAM) per ottenere queste autorizzazioni.
Elastic Beanstalk deve utilizzare delle credenziali di sicurezza provvisorie ogni volta che assume un ruolo di servizio. Per ottenere queste credenziali, Elastic Beanstalk invia una richiesta a AWS Security Token Service (AWS STS) su un endpoint specifico della regione. Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee nella Guida per l'utente di IAM.
Nota
Se l' AWS STS endpoint per la regione in cui si trova l'ambiente è disattivato, Elastic Beanstalk invia la richiesta su un endpoint alternativo che non può essere disattivato. Questo endpoint è associato a una regione diversa. Pertanto, la richiesta è una richiesta tra regioni. Per ulteriori informazioni, consulta Attivazione e disattivazione AWS STS in una regione nella Guida per l'utente IAM. AWS
Gestione dei ruoli del servizio utilizzando la console Elastic Beanstalk e CLI EB
La console Elastic Beanstalk e la CLI EB possono essere utilizzate per impostare i ruoli del servizio per l'ambiente con un set di autorizzazioni sufficiente. Creano un ruolo di servizio predefinito e utilizzano policy gestite.
Policy gestite dei ruoli dei servizi
Elastic Beanstalk fornisce una policy gestita per il monitoraggio avanzato dello stato e una con le autorizzazioni aggiuntive necessarie per gli aggiornamenti gestiti della piattaforma. La console e la CLI EB assegnano entrambi queste policy al ruolo di servizio predefinito creato per l'utente. Queste policy devono essere utilizzate solo per questo ruolo di servizio predefinito. Non devono essere utilizzate con altri utenti o ruoli nei tuoi account.
Questa policy concede le autorizzazioni a Elastic Beanstalk per monitorare l'integrità dell'istanza e dell'ambiente.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetHealth",
"ec2:DescribeInstances",
"ec2:DescribeInstanceStatus",
"ec2:GetConsoleOutput",
"ec2:AssociateAddress",
"ec2:DescribeAddresses",
"ec2:DescribeSecurityGroups",
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeScalingActivities",
"autoscaling:DescribeNotificationConfigurations",
"sns:Publish"
],
"Resource": [
"*"
]
}
]
}Questa policy concede le autorizzazioni a Elastic Beanstalk per aggiornare gli ambienti per tuo conto ed eseguire gli aggiornamenti gestiti della piattaforma.
Raggruppamenti di autorizzazioni a livello di servizio
Questa policy è raggruppata in istruzioni in base al set di autorizzazioni fornite.
-
ElasticBeanstalkPermissions: questo gruppo di autorizzazioni consente di chiamare le operazioni del servizio Elastic Beanstalk (API di Elastic Beanstalk). -
AllowPassRoleToElasticBeanstalkAndDownstreamServices: questo gruppo di autorizzazioni consente di passare qualsiasi ruolo a Elastic Beanstalk e ad altri servizi downstream come AWS CloudFormation. -
ReadOnlyPermissions: questo gruppo di autorizzazioni serve a raccogliere informazioni sull'ambiente in esecuzione. -
*OperationPermissions: i gruppi con questo modello di denominazione servono a chiamare le operazioni necessarie per eseguire gli aggiornamenti della piattaforma. -
*BroadOperationPermissions: i gruppi con questo modello di denominazione servono a chiamare le operazioni necessarie per eseguire gli aggiornamenti della piattaforma. Includono inoltre autorizzazioni estese per il supporto degli ambienti legacy. -
*TagResource— I gruppi con questo modello di denominazione sono destinati alle chiamate che utilizzano le tag-on-create API per allegare tag alle risorse che vengono create in un ambiente Elastic Beanstalk.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ElasticBeanstalkPermissions",
"Effect": "Allow",
"Action": [
"elasticbeanstalk:*"
],
"Resource": "*"
},
{
"Sid": "AllowPassRoleToElasticBeanstalkAndDownstreamServices",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"elasticbeanstalk.amazonaws.com",
"ec2.amazonaws.com",
"ec2.amazonaws.com.cn",
"autoscaling.amazonaws.com",
"elasticloadbalancing.amazonaws.com",
"ecs.amazonaws.com",
"cloudformation.amazonaws.com"
]
}
}
},
{
"Sid": "ReadOnlyPermissions",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAccountLimits",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeLaunchConfigurations",
"autoscaling:DescribeLoadBalancers",
"autoscaling:DescribeNotificationConfigurations",
"autoscaling:DescribeScalingActivities",
"autoscaling:DescribeScheduledActions",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeImages",
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstances",
"ec2:DescribeKeyPairs",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSpotInstanceRequests",
"ec2:DescribeSubnets",
"ec2:DescribeVpcClassicLink",
"ec2:DescribeVpcs",
"elasticloadbalancing:DescribeInstanceHealth",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTargetHealth",
"logs:DescribeLogGroups",
"rds:DescribeDBEngineVersions",
"rds:DescribeDBInstances",
"rds:DescribeOrderableDBInstanceOptions",
"sns:ListSubscriptionsByTopic"
],
"Resource": [
"*"
]
},
{
"Sid": "EC2BroadOperationPermissions",
"Effect": "Allow",
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateSecurityGroup",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteLaunchTemplateVersions",
"ec2:DeleteSecurityGroup",
"ec2:DisassociateAddress",
"ec2:ReleaseAddress",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*"
},
{
"Sid": "EC2RunInstancesOperationPermissions",
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": "*",
"Condition": {
"ArnLike": {
"ec2:LaunchTemplate": "arn:aws:ec2:*:*:launch-template/*"
}
}
},
{
"Sid": "EC2TerminateInstancesOperationPermissions",
"Effect": "Allow",
"Action": [
"ec2:TerminateInstances"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-id": [
"arn:aws:cloudformation:*:*:stack/awseb-e-*",
"arn:aws:cloudformation:*:*:stack/eb-*"
]
}
}
},
{
"Sid": "ECSBroadOperationPermissions",
"Effect": "Allow",
"Action": [
"ecs:CreateCluster",
"ecs:DescribeClusters",
"ecs:RegisterTaskDefinition"
],
"Resource": "*"
},
{
"Sid": "ECSDeleteClusterOperationPermissions",
"Effect": "Allow",
"Action": "ecs:DeleteCluster",
"Resource": "arn:aws:ecs:*:*:cluster/awseb-*"
},
{
"Sid": "ASGOperationPermissions",
"Effect": "Allow",
"Action": [
"autoscaling:AttachInstances",
"autoscaling:CreateAutoScalingGroup",
"autoscaling:CreateLaunchConfiguration",
"autoscaling:CreateOrUpdateTags",
"autoscaling:DeleteLaunchConfiguration",
"autoscaling:DeleteAutoScalingGroup",
"autoscaling:DeleteScheduledAction",
"autoscaling:DetachInstances",
"autoscaling:DeletePolicy",
"autoscaling:PutScalingPolicy",
"autoscaling:PutScheduledUpdateGroupAction",
"autoscaling:PutNotificationConfiguration",
"autoscaling:ResumeProcesses",
"autoscaling:SetDesiredCapacity",
"autoscaling:SuspendProcesses",
"autoscaling:TerminateInstanceInAutoScalingGroup",
"autoscaling:UpdateAutoScalingGroup"
],
"Resource": [
"arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/awseb-e-*",
"arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/eb-*",
"arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/awseb-e-*",
"arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/eb-*"
]
},
{
"Sid": "CFNOperationPermissions",
"Effect": "Allow",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/awseb-*",
"arn:aws:cloudformation:*:*:stack/eb-*"
]
},
{
"Sid": "ELBOperationPermissions",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:AddTags",
"elasticloadbalancing:ApplySecurityGroupsToLoadBalancer",
"elasticloadbalancing:ConfigureHealthCheck",
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:DeleteLoadBalancer",
"elasticloadbalancing:DeregisterInstancesFromLoadBalancer",
"elasticloadbalancing:DeregisterTargets",
"elasticloadbalancing:RegisterInstancesWithLoadBalancer",
"elasticloadbalancing:RegisterTargets"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:targetgroup/awseb-*",
"arn:aws:elasticloadbalancing:*:*:targetgroup/eb-*",
"arn:aws:elasticloadbalancing:*:*:loadbalancer/awseb-*",
"arn:aws:elasticloadbalancing:*:*:loadbalancer/eb-*",
"arn:aws:elasticloadbalancing:*:*:loadbalancer/*/awseb-*/*",
"arn:aws:elasticloadbalancing:*:*:loadbalancer/*/eb-*/*"
]
},
{
"Sid": "CWLogsOperationPermissions",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:DeleteLogGroup",
"logs:PutRetentionPolicy"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/elasticbeanstalk/*"
},
{
"Sid": "S3ObjectOperationPermissions",
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl"
],
"Resource": "arn:aws:s3:::elasticbeanstalk-*/*"
},
{
"Sid": "S3BucketOperationPermissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetBucketPolicy",
"s3:ListBucket",
"s3:PutBucketPolicy"
],
"Resource": "arn:aws:s3:::elasticbeanstalk-*"
},
{
"Sid": "SNSOperationPermissions",
"Effect": "Allow",
"Action": [
"sns:CreateTopic",
"sns:GetTopicAttributes",
"sns:SetTopicAttributes",
"sns:Subscribe"
],
"Resource": "arn:aws:sns:*:*:ElasticBeanstalkNotifications-*"
},
{
"Sid": "SQSOperationPermissions",
"Effect": "Allow",
"Action": [
"sqs:GetQueueAttributes",
"sqs:GetQueueUrl"
],
"Resource": [
"arn:aws:sqs:*:*:awseb-e-*",
"arn:aws:sqs:*:*:eb-*"
]
},
{
"Sid": "CWPutMetricAlarmOperationPermissions",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricAlarm"
],
"Resource": [
"arn:aws:cloudwatch:*:*:alarm:awseb-*",
"arn:aws:cloudwatch:*:*:alarm:eb-*"
]
},
{
"Sid": "AllowECSTagResource",
"Effect": "Allow",
"Action": [
"ecs:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ecs:CreateAction": [
"CreateCluster",
"RegisterTaskDefinition"
]
}
}
}
]
}Per visualizzare il contenuto di una policy gestita, puoi utilizzare anche la pagina Policy
Importante
Le policy gestite da Elastic Beanstalk non forniscono autorizzazioni granulari, ma concedono tutte le autorizzazioni potenzialmente necessarie per lavorare con le applicazioni Elastic Beanstalk. In alcuni casi potresti voler limitare ulteriormente le autorizzazioni delle nostre politiche gestite. Per un esempio di un caso d'uso, vediImpedire l'accesso ai bucket Amazon S3 tra ambienti.
Inoltre, le nostre policy gestite non coprono le autorizzazioni per le risorse personalizzate che potresti aggiungere alla soluzione e che non sono gestite da Elastic Beanstalk. Per implementare autorizzazioni più granulari, autorizzazioni minime richieste o autorizzazioni a livello di risorsa personalizzate, utilizza le policy personalizzate.
Policy gestite da obsolete
In passato, Elastic Beanstalk AWSElasticBeanstalkServicesupportava la politica dei ruoli dei servizi gestiti. Questa politica è stata sostituita da. AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy Potresti comunque essere in grado di visualizzare e utilizzare le policy precedenti nella console IAM.
Per visualizzare il contenuto della policy gestita, consulta AWSElasticBeanstalkServicela AWS Managed Policy Reference Guide.
Tuttavia, ti consigliamo di passare all'utilizzo della nuova policy gestita (AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy). Aggiungi policy personalizzate per concedere autorizzazioni alle risorse personalizzate, se presenti.
Utilizzo della console Elastic Beanstalk
Quando avvii un ambiente nella console Elastic Beanstalk, la console crea un ruolo di servizio predefinito denominato aws-elasticbeanstalk-service-role a cui collega le policy gestite con le autorizzazioni predefinite.
Per consentire a Elastic Beanstalk di assumere il ruolo aws-elasticbeanstalk-service-role, il ruolo di servizio specifica Elastic Beanstalk come entità attendibile nella policy delle relazioni di trust.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "elasticbeanstalk.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:ExternalId": "elasticbeanstalk"
}
}
}
]
}Quando abiliti gli aggiornamenti gestiti della piattaforma per l'ambiente, Elastic Beanstalk assume un ruolo di servizio degli aggiornamenti gestiti separato per eseguire gli aggiornamenti gestiti. Per impostazione predefinita, la console Elastic Beanstalk utilizza lo stesso ruolo di servizio generato, aws-elasticbeanstalk-service-role, per il ruolo di servizio degli aggiornamenti gestiti. Se modifichi il ruolo di servizio predefinito, la console imposta il ruolo del servizio degli aggiornamenti gestiti in modo da utilizzare il ruolo collegato al servizio degli aggiornamenti gestiti, AWSServiceRoleForElasticBeanstalkManagedUpdates. Per ulteriori informazioni sui ruoli collegati al servizio, consulta Uso di ruoli collegati ai servizi.
Nota
A causa di problemi di autorizzazione, il servizio Elastic Beanstalk non sempre riesce a creare questo ruolo collegato ai servizi per tuo conto. Pertanto, la console tenta di crearlo in modo esplicito. Per garantire che l'account disponga di questo ruolo collegato ai servizi, crea un ambiente almeno una volta utilizzando la console e configura gli aggiornamenti gestiti da abilitare prima di creare l'ambiente.
Utilizzo della CLI EB
Quando avvii un ambiente utilizzando il comando eb create dell'interfaccia a riga di comando di Elastic Beanstalk (CLI EB) e non specifichi un ruolo di servizio tramite l'opzione --service-role, Elastic Beanstalk crea il ruolo di servizio predefinito aws-elasticbeanstalk-service-role. Se il ruolo di servizio predefinito esiste già, Elastic Beanstalk lo utilizza per il nuovo ambiente. Anche la console Elastic Beanstalk, in queste situazioni, esegue azioni simili.
Al contrario della console, non puoi specificare un ruolo di servizio degli aggiornamenti gestiti quando si utilizza un'opzione di comando della CLI EB. Se attivi gli aggiornamenti gestiti per l'ambiente, imposta il ruolo di servizio degli aggiornamenti gestiti tramite le opzioni di configurazione. Nell'esempio seguente vengono attivati gli aggiornamenti gestiti e viene utilizzato il ruolo del servizio predefinito come ruolo del servizio degli aggiornamenti gestiti.
Esempio .ebextensions/ managed-platform-update .config
option_settings:
aws:elasticbeanstalk:managedactions:
ManagedActionsEnabled: true
PreferredStartTime: "Tue:09:00"
ServiceRoleForManagedUpdates: "aws-elasticbeanstalk-service-role"
aws:elasticbeanstalk:managedactions:platformupdate:
UpdateLevel: patch
InstanceRefreshEnabled: trueGestione dei ruoli del servizio utilizzando l'API Elastic Beanstalk
Quando utilizzi l'operazione CreateEnvironment dell'API Elastic Beanstalk per creare un ambiente, specifica un ruolo di servizio utilizzando l'opzione di configurazione ServiceRole nello spazio dei nomi aws:elasticbeanstalk:environment. Per ulteriori informazioni sull'utilizzo del monitoraggio avanzato dello stato con l'API Elastic Beanstalk, consulta Utilizzo di report dello stato avanzato con l'API Elastic Beanstalk.
Inoltre, se abiliti gli aggiornamenti gestiti della piattaforma per l'ambiente, puoi specificare un ruolo del servizio degli aggiornamenti gestiti utilizzando l'opzione ServiceRoleForManagedUpdates dello spazio dei nomi aws:elasticbeanstalk:managedactions.
Uso di ruoli collegati ai servizi
Un ruolo collegato al servizio è un tipo unico di ruolo di servizio predefinito da Elastic Beanstalk per includere tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS Il ruolo collegato al servizio è associato al tuo account. Elastic Beanstalk lo crea una volta, quindi lo riutilizza quando crea altri ambienti. Per informazioni dettagliate sull'utilizzo di ruoli collegati ai servizi con ambienti Elastic Beanstalk, consulta Utilizzo dei ruoli collegati ai servizi per Elastic Beanstalk.
Quando crei un ambiente utilizzando l'API Elastic Beanstalk senza specificare un ruolo di servizio, Elastic Beanstalk crea un ruolo collegato ai servizi di monitoraggio per il tuo account, se non esiste già. Il ruolo viene quindi utilizzato per il nuovo ambiente. Puoi anche utilizzare IAM per creare in anticipo il ruolo collegato ai servizi di monitoraggio del tuo account. Una volta che l'account ha questo ruolo, potrai utilizzarlo per creare un ambiente utilizzando l'API Elastic Beanstalk, la console Elastic Beanstalk o CLI EB.
Se si abilitano gli aggiornamenti della piattaforma gestita per l'ambiente e si specifica AWSServiceRoleForElasticBeanstalkManagedUpdates come valore per l'opzione ServiceRoleForManagedUpdates dello spazio dei nomi aws:elasticbeanstalk:managedactions, Elastic Beanstalk crea un ruolo collegato ai servizi con aggiornamenti gestiti per l'account, se non esiste già. Elastic Beanstalk utilizza il ruolo per eseguire aggiornamenti gestiti per il nuovo ambiente.
Nota
Quando Elastic Beanstalk cerca di creare i ruoli collegati ai servizi di monitoraggio e di aggiornamenti gestiti per il tuo account al momento della creazione di un ambiente, devi disporre dell'autorizzazione iam:CreateServiceLinkedRole. Se non disponi di questa autorizzazione, la creazione dell'ambiente non va a buon fine e viene visualizzato un messaggio che descrive il problema.
In alternativa, un altro utente con l'autorizzazione per creare ruoli collegati ai servizi può utilizzare IAM per creare in anticipo il ruolo collegato ai servizi. Utilizzando questo metodo, non è necessaria l'autorizzazione iam:CreateServiceLinkedRole per creare l'ambiente.
Verifica delle autorizzazioni del ruolo di servizio predefinito
Le autorizzazioni concesse dal ruolo di servizio predefinito possono variare in base al momento in cui è stato creato, all'ultima volta in cui hai avviato un ambiente e al client che hai utilizzato. Puoi verificare le autorizzazioni concesse dal ruolo predefinito del servizio nella console IAM.
Per verificare le autorizzazioni del ruolo di servizio predefinito
-
Apri la pagina Ruoli
nella console IAM. -
Scegli. aws-elasticbeanstalk-service-role
-
Nella scheda Permissions (Autorizzazioni), esamina l'elenco delle policy collegate al ruolo.
-
Per vedere le autorizzazioni concesse da una policy, scegli la policy.
Aggiornamento di un ruolo di servizio out-of-date predefinito
Se il ruolo predefinito del servizio non dispone delle autorizzazioni necessarie, puoi aggiornarlo mediante la creazione di un nuovo ambiente nella console di gestione dell'ambiente Elastic Beanstalk.
In alternativa, puoi aggiungere manualmente le policy gestite al ruolo di servizio predefinito.
Per aggiungere policy gestite al ruolo di servizio predefinito
-
Apri la pagina Ruoli
nella console IAM. -
Scegli aws-elasticbeanstalk-service-role.
-
Nella scheda Autorizzazioni, scegli Collega policy.
-
Digita
AWSElasticBeanstalkper filtrare le policy. -
Seleziona le policy seguenti e scegli Collega policy:
-
AWSElasticBeanstalkEnhancedHealth -
AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy
-
Aggiunta di autorizzazioni al ruolo di servizio predefinito
Se l'applicazione include file di configurazione che fanno riferimento a AWS risorse per le quali le autorizzazioni non sono incluse nel ruolo di servizio predefinito, Elastic Beanstalk potrebbe aver bisogno di autorizzazioni aggiuntive. Queste autorizzazioni aggiuntive sono necessarie per risolvere questi riferimenti quando elabora i file di configurazione durante un aggiornamento gestito. Se le autorizzazioni mancano, l'aggiornamento non riesce ed Elastic Beanstalk restituisce un messaggio che indica l'autorizzazione richiesta. Segui le istruzioni riportate per aggiungere le autorizzazioni per i servizi aggiuntivi al ruolo di servizio predefinito nella console IAM.
Per aggiungere policy aggiuntive al ruolo di servizio predefinito
-
Apri la pagina Ruoli
nella console IAM. -
Scegli. aws-elasticbeanstalk-service-role
-
Nella scheda Autorizzazioni, scegli Collega policy.
-
Seleziona la policy gestita per i servizi aggiuntivi utilizzati dall'applicazione. Ad esempio
AmazonAPIGatewayAdministratoroAmazonElasticFileSystemFullAccess. -
Scegli Collega policy.
Creazione di un ruolo del servizio
Se non riesci a utilizzare il ruolo di servizio predefinito, creane uno.
Per creare un ruolo di servizio
-
Apri la pagina Ruoli
nella console IAM. -
Scegli Crea ruolo.
-
In AWS service (Servizio AWS ), scegli AWS Elastic Beanstalk e seleziona il caso d'uso.
-
Scegli Successivo: autorizzazioni.
-
Collega le policy gestite
AWSElasticBeanstalkManagedUpdatesCustomerRolePolicyeAWSElasticBeanstalkEnhancedHealthed eventuali policy aggiuntive che forniscono le autorizzazioni necessarie per l'applicazione. -
Scegli Successivo: Tag.
-
(Facoltativo) Aggiungi i tag al ruolo.
-
Scegli Prossimo: Rivedi.
-
Inserisci un nome per il ruolo.
-
Scegli Crea ruolo.
Puoi applicare il ruolo di servizio personalizzato quando crei un ambiente nella procedura guidata per la creazione di un ambiente o con l'opzione --service-role nel comando eb create.
