Funções de serviço, perfis de instância e políticas de usuário - AWS Elastic Beanstalk

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Funções de serviço, perfis de instância e políticas de usuário

Quando você cria um ambiente, o AWS Elastic Beanstalk solicita o fornecimento das seguintes funções do AWS Identity and Access Management (IAM):

  • Service role (Função de serviço): o Elastic Beanstalk assume uma função de serviço para usar outros Serviços da AWS em seu nome.

  • Instance profile (Perfil da instância): o Elastic Beanstalk aplica o perfil das instâncias às instâncias em seu ambiente. Isso permite que ele faça o seguinte:

    • Recupere versões da aplicação do Amazon Simple Storage Service (Amazon S3).

    • Carregue logs para o Amazon S3.

    • Execute outras tarefas que variam dependendo da plataforma e do tipo de ambiente.

Função de serviço

Quando você cria um ambiente no console do Elastic Beanstalk ou usa a EB CLI do Elastic Beanstalk, as funções de serviço necessárias são criadas e recebem políticas gerenciadas. Essas políticas incluem todas as permissões necessárias. Agora, suponha que a função de serviço já exista em sua conta e você crie um novo ambiente no console do Elastic Beanstalk ou usando a CLI do Elastic Beanstalk. Se isso acontecer, a função de serviço existente será atribuída automaticamente ao novo ambiente.

Perfil da instância

Se a sua conta da AWS não tiver um perfil de instância do EC2, você deverá criar um usando o serviço IAM. Depois, você poderá atribuir o perfil de instância do EC2 aos novos ambientes que criar. O assistente Criar ambiente fornece informações que guiam você pelo serviço IAM para que possa criar um perfil de instância do EC2 com as permissões necessárias. Depois de criar o perfil de instância, você pode retornar ao console para selecioná-lo como o perfil de instância do EC2 e continuar as etapas para criar seu ambiente.

nota

Anteriormente, o Elastic Beanstalk criava um perfil de instância padrão do EC2 denominado aws-elasticbeanstalk-ec2-role a primeira vez que uma conta da AWS criava um ambiente. Esse perfil de instância incluía as políticas gerenciadas padrão. Se sua conta já tiver esse perfil de instância, ele permanecerá disponível para você atribuí-lo aos seus ambientes.

Porém, as diretrizes de segurança recentes da AWS não permitem que um serviço da AWS crie automaticamente perfis com políticas de confiança para outros serviços da AWS, neste caso o EC2. Por causa dessas diretrizes de segurança, o Elastic Beanstalk não cria mais um perfil de instância padrão aws-elasticbeanstalk-ec2-role.

Políticas de usuário

Além das funções que atribui ao seu ambiente, você também pode criar políticas de usuário e aplicá-las a usuários e grupos do IAM em sua conta. A aplicação de políticas de usuário permite que os usuários criem e gerenciem aplicações e ambientes do Elastic Beanstalk. O Elastic Beanstalk também fornece políticas gerenciadas para acesso total e acesso somente leitura. Para obter mais informações sobre essas políticas, consulte Gerenciar políticas de usuário do Elastic Beanstalk.

Perfis de instância e políticas de usuário adicionais

Você pode criar seus próprios perfis de instância e políticas de usuário para cenários avançados. Se suas instâncias precisarem acessar serviços que não estejam incluídos nas políticas padrão, você poderá criar uma nova política ou acrescentar políticas adicionais à política padrão. Se a política gerenciada for muito permissiva para o que você precisa, também é possível criar políticas de usuário mais restritivas. Para mais informações sobre permissões da AWS, consulte o Guia do usuário do IAM.

Tópicos