Elastic Beanstalk サービスロール - AWS Elastic Beanstalk

Elastic Beanstalk サービスロール

サービスロールは、Elastic Beanstalk が代理で他のサービスを呼び出すときに引き受ける IAM ロールです。たとえば、Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing、および Amazon EC2 Auto Scaling API を呼び出して拡張ヘルスモニタリング用の AWS リソースのヘルスステータスについて情報を収集する際、Elastic Beanstalk は Elastic Beanstalk 環境の作成時に指定したサービスロールを使用します。

AWSElasticBeanstalkEnhancedHealth 管理ポリシーには、環境のヘルスステータスをモニタリングする際に Elastic Beanstalk で必要となるすべてのアクセス許可が含まれています。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetHealth",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:GetConsoleOutput",
                "ec2:AssociateAddress",
                "ec2:DescribeAddresses",
                "ec2:DescribeSecurityGroups",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "autoscaling:DescribeScalingActivities",
                "autoscaling:DescribeNotificationConfigurations",
                "sns:Publish"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

このポリシーには、Elastic Beanstalk がワーカー環境のキューアクティビティのモニタリングを行うための Amazon SQS アクションも含まれています。

Elastic Beanstalk コンソールで環境を作成する場合、Elastic Beanstalk より、デフォルトのアクセス権限のセットを含む aws-elasticbeanstalk-service-role という名前のサービスロールと、Elastic Beanstalk がサービスロールを引き受けることを許可する信頼ポリシーを作成するよう求められます。管理されたプラットフォームの更新を有効にした場合、Elastic Beanstalk は、この機能を有効にするアクセス許可を含む別のポリシーをアタッチします。

同様に、Elastic Beanstalk コマンドラインインターフェイス (EB CLI) の eb create コマンドを使用して環境を作成し、--service-role オプションでサービスロールを指定しなかった場合、Elastic Beanstalk はデフォルトのサービスロール aws-elasticbeanstalk-service-role を作成します。デフォルトのサービスロールが既に存在する場合、Elastic Beanstalk はそのサービスロールを新しい環境で使用します。

Elastic Beanstalk API の CreateEnvironment アクションを使用して環境を作成し、サービスロールを指定しなかった場合、Elastic Beanstalk は、モニタリングサービスにリンクされたロールを作成します。これは一意のタイプのサービスロールとして Elastic Beanstalk によって事前定義され、お客様の代わりにサービスから他の AWS のサービスを呼び出すために必要なアクセス許可がすべて含まれています。このサービスにリンクされたロールは、お客様のアカウントに関連付けられます。Elastic Beanstalk は、一度作成したロールを、追加の環境を作成する際に再利用します。IAM を使用して、アカウントのモニタリングサービスにリンクされたロールを事前に作成することもできます。モニタリングサービスにリンクされたロールがアカウントに設定されている場合は、これを使用して Elastic Beanstalk API、Elastic Beanstalk コンソール、または EB CLI で環境を作成できます。Elastic Beanstalk 環境でサービスにリンクされたロールを使用する方法の詳細については、「Elastic Beanstalk のサービスにリンクされたロールの使用」を参照してください。

サービスロールの詳細については、Elastic Beanstalk サービスロールを管理するを参照してください。