コンソールにサインインする
AWS Elastic Beanstalk
開発者ガイド

AWS ドキュメント » AWS Elastic Beanstalk » 開発者ガイド » サービスロール、インスタンスプロファイル、ユーザーポリシー » Elastic Beanstalk サービスロール

Elastic Beanstalk サービスロール

サービスロールは、Elastic Beanstalk が代理で他のサービスを呼び出すときに引き受ける IAM ロールです。たとえば、Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing、および Amazon EC2 Auto Scaling API を呼び出して拡張ヘルスモニタリング用の AWS リソースのヘルスステータスについて情報を収集する際、Elastic Beanstalk は Elastic Beanstalk 環境の作成時に指定したサービスロールを使用します。

AWSElasticBeanstalkEnhancedHealth 管理ポリシーには、環境のヘルスステータスをモニタリングする際に Elastic Beanstalk で必要となるすべてのアクセス許可が含まれています。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetHealth",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:GetConsoleOutput",
                "ec2:AssociateAddress",
                "ec2:DescribeAddresses",
                "ec2:DescribeSecurityGroups",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "autoscaling:DescribeScalingActivities",
                "autoscaling:DescribeNotificationConfigurations",
                "sns:Publish"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

このポリシーには、Elastic Beanstalk がワーカー環境のキューアクティビティのモニタリングを行うための Amazon SQS アクションも含まれています。

Elastic Beanstalk コンソール を使用して環境を作成すると、Elastic Beanstalk は aws-elasticbeanstalk-service-role という名前のサービスロールを作成するよう指示します。このロールには、デフォルトのアクセス許可と Elastic Beanstalk にサービスロールの引き受けを許可する信頼ポリシーが含まれます。管理されたプラットフォームの更新を有効にした場合、Elastic Beanstalk は、この機能を有効にするアクセス許可を含む別のポリシーをアタッチします。

同様に、Elastic Beanstalk コマンドラインインターフェイス (EB CLI) の eb create コマンドを使用して環境を作成し、--service-role オプションでサービスロールを指定しなかった場合、Elastic Beanstalk はデフォルトのサービスロール aws-elasticbeanstalk-service-role を作成します。デフォルトのサービスロールが既に存在する場合、Elastic Beanstalk はそのサービスロールを新しい環境で使用します。

Elastic Beanstalk API の CreateEnvironment アクションを使用して環境を作成し、サービスロールを指定しなかった場合、Elastic Beanstalk は、サービスにリンクされたロールを作成します。この一意のタイプのサービスロールは、Elastic Beanstalk によって事前定義されており、お客様の代わりにサービスから他の AWS サービスを呼び出すために必要なアクセス許可がすべて含まれています。このサービスにリンクされたロールは、お客様のアカウントに関連付けられます。Elastic Beanstalk によって一度作成されたロールは、環境を追加する際にも再利用されます。IAM を使用して、お客様のアカウントのサービスにリンクされたロールを事前に作成することもできます。サービスにリンクされたロールがアカウントに設定されている場合は、Elastic Beanstalk API、Elastic Beanstalk コンソール、または EB CLI を使用して環境を作成できます。Elastic Beanstalk 環境でのサービスにリンクされたロールの使用の詳細については、Elastic Beanstalk のサービスにリンクされたロールの使用を参照してください。

サービスロールの詳細については、Elastic Beanstalk サービスロールを管理するを参照してください。