Segurança do ambiente AWS Elastic Beanstalk

O Elastic Beanstalk fornece várias opções que controlam o acesso ao serviço (segurança) do ambiente e das instâncias do Amazon EC2 nesse ambiente. Este tópico discute a configuração dessas opções.

Configurar a segurança do ambiente

É possível modificar a configuração de segurança do ambiente do Elastic Beanstalk no console do Elastic Beanstalk.

Para configurar o acesso ao serviço (segurança) do ambiente no console do Elastic Beanstalk

1. Abra o console do Elastic Beanstalk e, na lista Regions (Regiões), selecione a sua Região da AWS.

2. No painel de navegação, selecione Ambientes e selecione o nome do ambiente na lista.

   nota

   Se você tiver muitos ambientes, use a barra de pesquisa para filtrar a lista de ambientes.

3. No painel de navegação, escolha Configuration (Configuração).

4. Na categoria de configuração Service access (Acesso ao serviço), escolha Edit (Editar).

As seguintes configurações estão disponíveis.

Configurações

• Função de serviço
• EC2 key pair
• Perfil de instância do IAM

Função de serviço

Selecione uma função de serviço a ser associada ao ambiente do Elastic Beanstalk. O Elastic Beanstalk assume a função de serviço quando acessa outros produtos da AWS em seu nome. Para obter mais detalhes, consulte Gerenciar funções de serviço do Elastic Beanstalk.

EC2 key pair

É possível fazer login com segurança nas instâncias do Amazon Elastic Compute Cloud (Amazon EC2) provisionadas para a sua aplicação do Elastic Beanstalk com um par de chaves do Amazon EC2. Para obter instruções sobre como criar um par de chaves, consulte Criar um par de chaves usando o Amazon EC2 no Guia do usuário do Amazon EC2 para instâncias Linux.

nota

Quando você cria um par de chaves, o Amazon EC2 armazena uma cópia de sua chave pública. Se você não precisar mais usá-la para se conectar a nenhuma instância do ambiente, poderá excluí-la do Amazon EC2. Para obter detalhes, consulte Excluir um par de chaves no Guia do usuário do Amazon EC2 para instâncias Linux.

Escolha um EC2 key pair (Par de chaves do EC2) no menu suspenso para atribuí-lo às instâncias do ambiente. Quando você atribui um par de chaves, a chave pública é armazenada na instância para autenticar a chave privada, que você armazena localmente. A chave privada nunca é armazenada na AWS.

Para obter mais informações sobre a conexão com instâncias do Amazon EC2, consulte Conectar-se à instância e Conectar-se a instâncias Linux/UNIX a partir do Windows usando PuTTY no Guia do usuário do Amazon EC2 para instâncias Linux.

Perfil de instância do IAM

Um perfil de instância do EC2 é um perfil do IAM que é aplicado às instâncias iniciadas no ambiente do Elastic Beanstalk. As instâncias do Amazon EC2 assumem a função do perfil da instância para assinar solicitações para a AWS e acessar APIs, por exemplo, para fazer upload de logs no Amazon S3.

Na primeira vez que você cria um ambiente no console do Elastic Beanstalk, o Elastic Beanstalk solicita que você crie um perfil de instância com um conjunto padrão de permissões. Você pode adicionar permissões a esse perfil para conceder acesso a suas instâncias para outros produtos da AWS. Para obter mais detalhes, consulte Gerenciar perfis de instância do Elastic Beanstalk.

nota

Anteriormente, o Elastic Beanstalk criava um perfil de instância padrão do EC2 denominado aws-elasticbeanstalk-ec2-role a primeira vez que uma conta da AWS criava um ambiente. Esse perfil de instância incluía as políticas gerenciadas padrão. Se sua conta já tiver esse perfil de instância, ele permanecerá disponível para você atribuí-lo aos seus ambientes.

Porém, as diretrizes de segurança recentes da AWS não permitem que um serviço da AWS crie automaticamente perfis com políticas de confiança para outros serviços da AWS, neste caso o EC2. Por causa dessas diretrizes de segurança, o Elastic Beanstalk não cria mais um perfil de instância padrão aws-elasticbeanstalk-ec2-role.

Namespaces de configuração de segurança do ambiente

O Elastic Beanstalk fornece opções de configuração nos namespaces a seguir para permitir que você personalize a segurança do ambiente:

• aws:elasticbeanstalk:environment: configure a função de serviço do ambiente usando a opção ServiceRole.

• aws:autoscaling:launchconfiguration: configure permissões para as instâncias do Amazon EC2 do ambiente usando as opções EC2KeyName e IamInstanceProfile.

A CLI do EB e o console do Elastic Beanstalk aplicam os valores recomendados para as opções anteriores. Se quiser usar arquivos de configuração para definir a mesma coisa, você precisa remover essas configurações. Para mais detalhes, consulte Valores recomendados.