サービスロール、インスタンスプロファイル、ユーザーポリシー - AWS Elastic Beanstalk

サービスロール、インスタンスプロファイル、ユーザーポリシー

環境を作成すると、AWS Elastic Beanstalk によって 2 つの AWS Identity and Access Management (IAM) ロールとして、サービスロールとインスタンスプロファイルを指定するように求められます。サービスロールは Elastic Beanstalk が引き受け、お客様に代わって他の AWS のサービスを利用できるようにします。インスタンスプロファイルは、環境内のインスタンスに適用され、アプリケーションバージョンの Amazon Simple Storage Service (Amazon S3) からの取得、Amazon S3 へのログのアップロードをはじめ、環境タイプやプラットフォームに応じたさまざまなタスクの実行が可能になります。

正しく設定されたサービスロールとインスタンスプロファイルを取得するには、Elastic Beanstalk コンソールでサンプルアプリケーションを実行する環境を作成するか、Elastic Beanstalk コマンドラインインターフェイス (EB CLI) の使用をお勧めします。環境を作成するときには、クライアントは必要なロールを作成し、必須のアクセス許可のすべてを含む管理ポリシーを割り当てます。

環境に割り当てる 2 つのロール以外にユーザーポリシーを作成し、アカウントの IAM ユーザーとグループに適用すると、Elastic Beanstalk アプリケーションと環境の作成および管理を許可できます。Elastic Beanstalk には、フルアクセスと読み取り専用アクセスのための管理ポリシーが用意されています。

高度なシナリオ用に独自のインスタンスプロファイルとユーザーポリシーを作成できます。インスタンスからデフォルトのポリシーに含まれていないサービスにアクセスする必要がある場合は、デフォルトにポリシーを追加するか、新しいポリシーを作成できます。管理ポリシーの許容範囲が広すぎる場合は、その範囲を絞り込んだユーザーポリシーを作成することもできます。AWS のアクセス許可に関する詳細は、『AWS Identity and Access Management ユーザーガイド』を参照してください。