サービスロール、インスタンスプロファイル、ユーザーポリシー - AWS Elastic Beanstalk

サービスロール、インスタンスプロファイル、ユーザーポリシー

環境を作成するときは、AWS Elastic Beanstalk から、次の AWS Identity and Access Management (IAM) ロールを入力するよう指示されます。

  • サービスロール: Elastic Beanstalk はサービスロールを引き受けて、ユーザーに代わって他の AWS のサービス を使用します。

  • インスタンスプロファイル: Elastic Beanstalk は、環境内のインスタンスにインスタンスプロファイルを適用します。以下を行うことを許可します。

    • Amazon Simple Storage Service (Amazon S3) からアプリケーションバージョンを取得します。

    • ログを Amazon S3 にアップロードします。

    • 他のタスクを実行します。このタスクは環境タイプとプラットフォームに応じて異なります。

サービスロールとインスタンスプロファイルを作成する最も簡単な方法は、次のいずれかの方法で、サンプルアプリケーションを実行する環境を作成することにより自動的に作成させることです。

  • Elastic Beanstalk コンソール

  • Elastic Beanstalk コマンドラインインターフェイス(EB CLI)

Elastic Beanstalk コンソールに環境を作成するか、Elastic Beanstalk EB CLI を使って環境を作成すると、必要なサービスロールが作成されて管理ポリシーが割り当てられます。これらのポリシーには、必要なアクセス許可がすべて含まれています。サービスロールがすでにアカウントにあり、Elastic Beanstalk コンソールに環境を作成するか、Elastic Beanstalk CLI を使って環境を作成するとします。この場合、新しい環境には、既存のサービスロールが自動的に割り当てられます。

環境に割り当てるロールの他に、ユーザーポリシーを作成してアカウントの IAM ユーザーとグループに適用することもできます。ユーザーポリシーを適用すると、ユーザーは Elastic Beanstalk アプリケーションおよび環境の作成、管理ができます。Elastic Beanstalk には、フルアクセスと読み取り専用アクセスのための管理ポリシーも用意されています。これらのポリシーの詳細については、「Elastic Beanstalk ユーザーポリシーの管理」を参照してください。

高度なシナリオ用に独自のインスタンスプロファイルとユーザーポリシーを作成できます。インスタンスからデフォルトのポリシーに含まれていないサービスにアクセスする必要がある場合は、新しいポリシーを作成するか、デフォルトのポリシーにポリシーを追加することができます。管理ポリシーの許容範囲がニーズに対して広すぎる場合は、範囲を絞り込んだユーザーポリシーを作成することもできます。AWS アクセス許可の詳細については、「IAM ユーザーガイド」を参照してください。