Elastic Beanstalk インスタンスプロファイル - AWS Elastic Beanstalk

Elastic Beanstalk インスタンスプロファイル

インスタンスプロファイルは、Elastic Beanstalk 環境で起動されるインスタンスに適用される IAM ロールです。Elastic Beanstalk 環境の作成時、インスタンスによる以下のアクションに使用されるインスタンスプロファイルを指定します。

  • Amazon Simple Storage Service (Amazon S3) からのアプリケーションバージョンの取得

  • Amazon S3 へのログの書き込み

  • AWS X-Ray 統合環境で、デバッグデータを X-Ray にアップロードする

  • マルチコンテナ Docker 環境における Amazon Elastic コンテナサービスによるコンテナデプロイの調整

  • ワーカー環境で、Amazon Simple Queue Service (Amazon SQS) キューから読み込む

  • ワーカー環境で、Amazon DynamoDB によりリーダーを選択する

  • ワーカー環境で Amazon CloudWatch にインスタンスヘルスメトリクスを発行する

AWSElasticBeanstalkWebTier 管理ポリシーには、環境のインスタンスによる Amazon S3 へのログのアップロードと、X-Ray へのデバッグ情報の送信を許可するステートメントが含まれます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "BucketAccess", "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::elasticbeanstalk-*", "arn:aws:s3:::elasticbeanstalk-*/*" ] }, { "Sid": "XRayAccess", "Action":[ "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "CloudWatchLogsAccess", "Action": [ "logs:PutLogEvents", "logs:CreateLogStream", "logs:DescribeLogStreams", "logs:DescribeLogGroups" ], "Effect": "Allow", "Resource": [ "arn:aws:logs:*:*:log-group:/aws/elasticbeanstalk*" ] }, { "Sid": "ElasticBeanstalkHealthAccess", "Action": [ "elasticbeanstalk:PutInstanceStatistics" ], "Effect": "Allow", "Resource": [ "arn:aws:elasticbeanstalk:*:*:application/*", "arn:aws:elasticbeanstalk:*:*:environment/*" ] } ] }

Elastic Beanstalk には、その他の用途に使用する AWSElasticBeanstalkWorkerTierAWSElasticBeanstalkMulticontainerDocker といった管理ポリシーもあります。コンソールまたは EB CLI で環境を作成する際、Elastic Beanstalk はデフォルトのインスタンスプロファイル aws-elasticbeanstalk-ec2-role にこれらのポリシーをすべてアタッチします。

ウェブアプリケーションで他の AWS のサービスへのアクセスが必要な場合、インスタンスプロファイルに、これらのサービスへのアクセスを許可するステートメントまたは管理ポリシーを追加します。

インスタンスプロファイルの詳細については、「Elastic Beanstalk インスタンスプロファイルの管理」を参照してください。