サービスロール、インスタンスプロファイル、ユーザーポリシー
環境を作成するときは、AWS Elastic Beanstalk から、次の AWS Identity and Access Management (IAM) ロールを入力するよう指示されます。
-
サービスロール: Elastic Beanstalk はサービスロールを引き受けて、ユーザーに代わって他の AWS のサービス を使用します。
-
インスタンスプロファイル: Elastic Beanstalk は、環境内のインスタンスにインスタンスプロファイルを適用します。以下を行うことを許可します。
-
Amazon Simple Storage Service (Amazon S3) からアプリケーションバージョンを取得します。
-
ログを Amazon S3 にアップロードします。
-
他のタスクを実行します。このタスクは環境タイプとプラットフォームに応じて異なります。
-
サービスロール
Elastic Beanstalk コンソールに環境を作成するか、Elastic Beanstalk EB CLI を使って環境を作成すると、必要なサービスロールが作成されて管理ポリシーが割り当てられます。これらのポリシーには、必要なアクセス許可がすべて含まれています。サービスロールがすでにアカウントにあり、Elastic Beanstalk コンソールに環境を作成するか、Elastic Beanstalk CLI を使って環境を作成するとします。この場合、新しい環境には、既存のサービスロールが自動的に割り当てられます。
インスタンスプロファイル
AWS アカウントに EC2 インスタンスプロファイルがない場合、IAM サービスを使用して作成する必要があります。その後、作成する新しい環境に EC2 インスタンスプロファイルを割り当てることができます。[環境作成] ウィザードには、IAM サービスを使用するための情報が用意されているため、必要な許可を持つ EC2 インスタンスプロファイルを作成できます。インスタンスプロファイルを作成したら、コンソールに戻って EC2 インスタンスプロファイルとして選択し、ステップを続行して環境を作成できます。
注記
以前に Elastic Beanstalk は、AWS アカウントが初めて環境を作成したときに aws-elasticbeanstalk-ec2-role という名前が付けられたデフォルトの EC2 インスタンスプロファイルを作成していました。このインスタンスプロファイルには、デフォルトの管理ポリシーが含まれていました。アカウントに既にこのインスタンスプロファイルがある場合、引き続き環境に割り当てることができます。
ただし、最近の AWS セキュリティガイドラインでは、AWS サービスが他の AWS サービス (この場合は EC2) に対して信頼ポリシーを含むロールを自動的に作成することは許可されていません。これらのセキュリティガイドラインにより、Elastic Beanstalk はデフォルトの aws-elasticbeanstalk-ec2-role インスタンスプロファイルを作成しなくなりました。
ユーザーポリシー
環境に割り当てるロールの他に、ユーザーポリシーを作成してアカウントの IAM ユーザーとグループに適用することもできます。ユーザーポリシーを適用すると、ユーザーは Elastic Beanstalk アプリケーションおよび環境の作成、管理ができます。Elastic Beanstalk には、フルアクセスと読み取り専用アクセスのための管理ポリシーも用意されています。これらのポリシーの詳細については、「Elastic Beanstalk ユーザーポリシーの管理」を参照してください。
その他のインスタンスプロファイルおよびユーザーポリシー
高度なシナリオ用に独自のインスタンスプロファイルとユーザーポリシーを作成できます。インスタンスからデフォルトのポリシーに含まれていないサービスにアクセスする必要がある場合は、新しいポリシーを作成するか、デフォルトのポリシーにポリシーを追加することができます。管理ポリシーの許容範囲がニーズに対して広すぎる場合は、範囲を絞り込んだユーザーポリシーを作成することもできます。AWS アクセス許可の詳細については、「IAM ユーザーガイド」を参照してください。
