Elastic Beanstalk サービスロール - AWS Elastic Beanstalk

Elastic Beanstalk サービスロール

サービスロールは、他のサービスを代理で呼び出すときに Elastic Beanstalk が引き受ける IAM ロールです。例えば、Elastic Beanstalk は、Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing、および Amazon EC2 Auto Scaling API を呼び出す場合に Elastic Beanstalk 環境の作成時に指定したサービスロールを使用して、拡張ヘルスモニタリングのために AWS リソースの状態に関する情報を収集します。

AWSElasticBeanstalkEnhancedHealth 管理ポリシーには、環境のヘルスステータスをモニタリングする際に Elastic Beanstalk で必要となるすべてのアクセス権限が含まれています。 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DescribeInstanceHealth",
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeTargetHealth",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceStatus",
                "ec2:GetConsoleOutput",
                "ec2:AssociateAddress",
                "ec2:DescribeAddresses",
                "ec2:DescribeSecurityGroups",
                "sqs:GetQueueAttributes",
                "sqs:GetQueueUrl",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "autoscaling:DescribeScalingActivities",
                "autoscaling:DescribeNotificationConfigurations",
                "sns:Publish"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

このポリシーには、Elastic Beanstalk にワーカー環境のキューアクティビティのモニタリングを許可する Amazon SQS アクションも含まれています。

Elastic Beanstalk コンソールで環境を作成する場合、Elastic Beanstalk より、デフォルトのアクセス権限のセットを含む aws-elasticbeanstalk-service-role という名前のサービスロールと、Elastic Beanstalk がサービスロールを引き受けることを許可する信頼ポリシーを作成するよう求められます。マネージドプラットフォーム更新を有効にすると、Elastic Beanstalk は、この機能を有効にするアクセス許可を含む別のポリシーをアタッチします。

同様に、Elastic Beanstalk コマンドラインインターフェイス (EB CLI) の eb create コマンドを使用して環境を作成するとき、--service-role オプションでサービスロールを指定しないと、Elastic Beanstalk によってデフォルトのサービスロール (aws-elasticbeanstalk-service-role) が作成されます。デフォルトのサービスロールが既に存在する場合、Elastic Beanstalk はそのサービスロールを新しい環境で使用します。

Elastic Beanstalk API の CreateEnvironment アクションを使用して環境を作成するとき、サービスロールを指定しないと、Elastic Beanstalk によってモニタリングサービスにリンクされたロールが作成されます。この一意のタイプのサービスロールは、Elastic Beanstalk によって事前定義されており、お客様の代わりにサービスが他の AWS のサービスを呼び出すために必要なアクセス許可がすべて含まれています。このサービスにリンクされたロールはお客様のアカウントに関連付けられています。Elastic Beanstalk によって一度作成されたロールは、追加の環境を作成するときにも使用されます。IAM を使用して、アカウントのモニタリングサービスにリンクされたロールを事前に作成することもできます。アカウントにモニタリングサービスにリンクされたロールがある場合、そのロールを Elastic Beanstalk API、Elastic Beanstalk コンソール、または EB CLI で使用して環境を作成できます。Elastic Beanstalk 環境でのサービスにリンクされたロールの使用の詳細については、「Elastic Beanstalk でのサービスにリンクされたロールの使用」を参照してください。

サービスロールの詳細については、「Elastic Beanstalk サービスロールの管理」を参照してください。