サービスロール、インスタンスプロファイル、ユーザーポリシー - AWS Elastic Beanstalk

サービスロール、インスタンスプロファイル、ユーザーポリシー

環境を作成するときは、AWS Elastic Beanstalk から、次の AWS Identity and Access Management (IAM) ロールを入力するよう指示されます。

  • サービスロール: Elastic Beanstalk はサービスロールを引き受けて、ユーザーに代わって他の AWS のサービス を使用します。

  • インスタンスプロファイル: Elastic Beanstalk は、環境内のインスタンスにインスタンスプロファイルを適用します。以下を行うことを許可します。

    • Amazon Simple Storage Service (Amazon S3) からアプリケーションバージョンを取得します。

    • ログを Amazon S3 にアップロードします。

    • 他のタスクを実行します。このタスクは環境タイプとプラットフォームに応じて異なります。

サービスロール

Elastic Beanstalk コンソールに環境を作成するか、Elastic Beanstalk EB CLI を使って環境を作成すると、必要なサービスロールが作成されて管理ポリシーが割り当てられます。これらのポリシーには、必要なアクセス許可がすべて含まれています。サービスロールがすでにアカウントにあり、Elastic Beanstalk コンソールに環境を作成するか、Elastic Beanstalk CLI を使って環境を作成するとします。この場合、新しい環境には、既存のサービスロールが自動的に割り当てられます。

インスタンスプロファイル

AWS アカウントに EC2 インスタンスプロファイルがない場合、IAM サービスを使用して作成する必要があります。その後、作成する新しい環境に EC2 インスタンスプロファイルを割り当てることができます。[環境作成] ウィザードには、IAM サービスを使用するための情報が用意されているため、必要な許可を持つ EC2 インスタンスプロファイルを作成できます。インスタンスプロファイルを作成したら、コンソールに戻って EC2 インスタンスプロファイルとして選択し、ステップを続行して環境を作成できます。

注記

以前に Elastic Beanstalk は、AWS アカウントが初めて環境を作成したときに aws-elasticbeanstalk-ec2-role という名前が付けられたデフォルトの EC2 インスタンスプロファイルを作成していました。このインスタンスプロファイルには、デフォルトの管理ポリシーが含まれていました。アカウントに既にこのインスタンスプロファイルがある場合、引き続き環境に割り当てることができます。

ただし、最近の AWS セキュリティガイドラインでは、AWS サービスが他の AWS サービス (この場合は EC2) に対して信頼ポリシーを含むロールを自動的に作成することは許可されていません。これらのセキュリティガイドラインにより、Elastic Beanstalk はデフォルトの aws-elasticbeanstalk-ec2-role インスタンスプロファイルを作成しなくなりました。

ユーザーポリシー

環境に割り当てるロールの他に、ユーザーポリシーを作成してアカウントの IAM ユーザーとグループに適用することもできます。ユーザーポリシーを適用すると、ユーザーは Elastic Beanstalk アプリケーションおよび環境の作成、管理ができます。Elastic Beanstalk には、フルアクセスと読み取り専用アクセスのための管理ポリシーも用意されています。これらのポリシーの詳細については、「Elastic Beanstalk ユーザーポリシーの管理」を参照してください。

その他のインスタンスプロファイルおよびユーザーポリシー

高度なシナリオ用に独自のインスタンスプロファイルとユーザーポリシーを作成できます。インスタンスからデフォルトのポリシーに含まれていないサービスにアクセスする必要がある場合は、新しいポリシーを作成するか、デフォルトのポリシーにポリシーを追加することができます。管理ポリシーの許容範囲がニーズに対して広すぎる場合は、範囲を絞り込んだユーザーポリシーを作成することもできます。AWS アクセス許可の詳細については、「IAM ユーザーガイド」を参照してください。