Criar um perfil da instância Verificar as permissões atribuídas ao perfil de instância Atualização de um perfil de instância out-of-date padrão Adicionar permissões ao perfil da instância padrão

Gerenciar perfis de instância do Elastic Beanstalk

Um perfil de instância é um contêiner para uma função AWS Identity and Access Management (IAM) que você pode usar para passar informações da função para uma instância do Amazon EC2 quando a instância é iniciada.

Se sua AWS conta não tiver um perfil de instância do EC2, você deverá criar um usando o serviço IAM. Depois, você poderá atribuir o perfil de instância do EC2 aos novos ambientes que criar. O assistente Criar ambiente fornece informações que guiam você pelo serviço IAM para que possa criar um perfil de instância do EC2 com as permissões necessárias. Depois de criar o perfil de instância, você pode retornar ao console para selecioná-lo como o perfil de instância do EC2 e continuar as etapas para criar seu ambiente.

nota

Anteriormente, o Elastic Beanstalk criava um aws-elasticbeanstalk-ec2-role perfil de instância EC2 padrão chamado na primeira vez AWS que uma conta criava um ambiente. Esse perfil de instância incluía as políticas gerenciadas padrão. Se sua conta já tiver esse perfil de instância, ele permanecerá disponível para você atribuí-lo aos seus ambientes.

No entanto, as diretrizes de AWS segurança recentes não permitem que um AWS serviço crie automaticamente funções com políticas de confiança para outros AWS serviços, neste caso o EC2. Por causa dessas diretrizes de segurança, o Elastic Beanstalk não cria mais um perfil de instância padrão aws-elasticbeanstalk-ec2-role.

Políticas gerenciadas

O Elastic Beanstalk fornece várias políticas gerenciadas para permitir que seu ambiente atenda a diferentes casos de uso. Para atender aos casos de uso padrão de um ambiente, essas políticas devem ser anexadas ao perfil de instância do EC2.

AWSElasticBeanstalkWebTier— Concede permissões para que o aplicativo faça upload de registros para o Amazon S3 e informações de depuração para. AWS X-Ray Para ver o conteúdo da política gerenciada, consulte AWSElasticBeanstalkWebTiero Guia de referência de políticas AWS gerenciadas.
AWSElasticBeanstalkWorkerTier— Concede permissões para upload de registros, depuração, publicação de métricas e tarefas de instância de trabalho, incluindo gerenciamento de filas, eleição de líderes e tarefas periódicas. Para ver o conteúdo da política gerenciada, consulte AWSElasticBeanstalkWorkerTiero Guia de referência de políticas AWS gerenciadas.
AWSElasticBeanstalkMulticontainerDocker— Concede permissões para o Amazon Elastic Container Service coordenar tarefas de cluster para ambientes Docker. Para ver o conteúdo da política gerenciada, consulte AWSElasticBeanstalkMulticontainerDockero Guia de referência de políticas AWS gerenciadas.

Importante

As políticas gerenciadas do Elastic Beanstalk não fornecem permissões granulares, elas concedem todas as permissões que são potencialmente necessárias para trabalhar com aplicações Elastic Beanstalk. Em alguns casos, talvez você queira restringir ainda mais as permissões de nossas políticas gerenciadas. Para ver um exemplo de um caso de uso, consulteImpedindo o acesso entre ambientes cruzados ao bucket do Amazon S3.

Nossas políticas gerenciadas também não abrangem permissões para recursos personalizados que você pode adicionar à sua solução e que não são gerenciados pelo Elastic Beanstalk. Para implementar permissões mais granulares, permissões mínimas necessárias ou permissões de recursos personalizadas, use políticas personalizadas.

Política de relacionamento de confiança para o EC2

Para permitir que as instâncias do EC2 do ambiente assumam o perfil necessário, o perfil de instância especifica o Amazon EC2 como uma entidade confiável na política de relacionamento de confiança, como se segue.


{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Para personalizar as permissões, você pode adicionar políticas à função anexada ao perfil da instância padrão ou criar seu próprio perfil de instância com um conjunto restrito de permissões.

Seções

Criar um perfil da instância
Verificar as permissões atribuídas ao perfil de instância
Atualização de um perfil de instância out-of-date padrão
Adicionar permissões ao perfil da instância padrão

Criar um perfil da instância

Perfil da instância é um wrapper em torno de uma função padrão do IAM que permite a uma instância do EC2 assumir a função. Você pode criar perfis de instância adicionais para personalizar permissões para diferentes aplicações. Ou você pode criar um perfil de instância que não conceda permissões para o nível de operador ou para ambientes do Docker gerenciados pelo ECS, caso não use esses recursos.

Como criar um perfil de instância

Abra a página Roles (Funções) no console do IAM.
Selecione Create role (Criar função).
Em Tipo de entidade confiável, selecione Serviço da AWS .
Em Use case (Caso de uso), selecione EC2.
Escolha Próximo.
Associe as políticas gerenciadas adequadas disponibilizadas pelo Elastic Beanstalk e quaisquer políticas adicionais que fornecem as permissões necessárias à sua aplicação.
Escolha Próximo.
Insira um nome para a função.
(Opcional) Adicione tags à função.
Selecione Criar função.

Verificar as permissões atribuídas ao perfil de instância

As permissões atribuídas ao seu perfil da instância padrão pode variar de acordo com a data de criação, a última vez em que você iniciou um ambiente e qual cliente você usou. É possível verificar as permissões do perfil da instância padrão no console do IAM.

Para verificar as permissões do perfil da instância padrão

Abra a página Roles (Funções) no console do IAM.
Escolha a função atribuída como seu perfil de instância do EC2.
Na guia Permissions, (Permissões) revise a lista de políticas associadas à função.
Para ver as permissões que uma política concede, selecione a política.

Atualização de um perfil de instância out-of-date padrão

Se o perfil de instância padrão não tiver as permissões necessárias, você poderá adicionar manualmente as políticas ao perfil atribuído como seu perfil de instância do EC2.

Para adicionar políticas gerenciadas à função anexadas ao perfil de instância padrão

Abra a página Roles (Funções) no console do IAM.
Escolha a função atribuída como seu perfil de instância do EC2.
Na guia Permissions (Permissões), escolha Attach policies (Anexar políticas).
Digite AWSElasticBeanstalk para filtrar as políticas.
Selecione as seguintes políticas e selecione Attach policy (Associar política):
- AWSElasticBeanstalkWebTier
- AWSElasticBeanstalkWorkerTier
- AWSElasticBeanstalkMulticontainerDocker

Adicionar permissões ao perfil da instância padrão

Se seu aplicativo acessar AWS APIs ou recursos aos quais as permissões não são concedidas no perfil de instância padrão, adicione políticas que concedam permissões no console do IAM.

Para adicionar políticas à função anexadas ao perfil de instância padrão

Abra a página Roles (Funções) no console do IAM.
Escolha a função atribuída como seu perfil de instância do EC2.
Na guia Permissions (Permissões), escolha Attach policies (Anexar políticas).
Selecione a política gerenciada para os serviços adicionais que o seu aplicativo utiliza. Por exemplo, o AmazonS3FullAccess ou o AmazonDynamoDBFullAccess.
Escolha Anexar política.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

IAM

Perfis de serviço