您的 AWS Elastic Beanstalk 环境安全性

Elastic Beanstalk 提供了多个选项来控制您的环境及其中的 Amazon EC2 实例的服务访问（安全性）。本主题将讨论这些选项的配置。

配置环境安全性

您可以在 Elastic Beanstalk 控制台中修改 Elastic Beanstalk 环境的安全性配置。

在 Elastic Beanstalk 控制台中配置环境服务访问（安全性）

1. 打开 Elastic Beanstalk 控制台，然后在 Regions（区域）列表中选择您的 AWS 区域。

2. 在导航窗格中，选择 Environments（环境），然后从列表中选择环境的名称。

   注意

   如果您有多个环境，请使用搜索栏筛选环境列表。

3. 在导航窗格中，选择 Configuration（配置）。

4. 在 Service access（服务访问）配置类别中，选择 Edit（编辑）。

可供使用的设置如下。

设置

• 服务角色
• EC2 密钥对
• IAM 实例配置文件

服务角色

选择要与 Elastic Beanstalk 环境关联的服务角色。Elastic Beanstalk 在代表您访问其他AWS服务时代入此服务角色。有关详细信息，请参阅 管理 Elastic Beanstalk 服务角色。

EC2 密钥对

您可以使用 Amazon EC2 密钥对安全地登录为 Elastic Beanstalk 应用程序预配置的 Amazon Elastic Compute Cloud (Amazon EC2) 实例。有关创建密钥对的说明，请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的使用 Amazon EC2 创建密钥对。

注意

创建密钥对时，Amazon EC2 将存储公有密钥的副本。如果不再需要使用它连接到任何环境实例，则可将其从 Amazon EC2 中删除。有关详细信息，请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的删除密钥对。

从下拉菜单中选择 EC2 密钥对以将其分配到您环境的实例。当您分配密钥对时，公共密钥存储在实例上，用于对存储在本地的私有密钥进行身份验证。私钥永远不会存储在AWS上。

有关连接到 Amazon EC2 实例的更多信息，请参阅《适用于 Linux 实例的 Amazon EC2 用户指南》中的连接到您的实例和使用 PuTTY 从 Windows 连接到 Linux/Unix 实例。

IAM 实例配置文件

EC2 实例配置文件是一种 IAM 角色，将应用到在您的 Elastic Beanstalk 环境中启动的实例。Amazon EC2 实例代入此实例配置文件角色，以签署向AWS发出的请求并访问 API 来执行某些操作，例如，将日志上传到 Amazon S3 的操作。

首次在 Elastic Beanstalk 控制台中创建环境时，Elastic Beanstalk 提示您创建具有默认权限集的实例配置文件。您可以向此配置文件添加权限，从而为您的实例提供访问其他AWS服务的权限。有关详细信息，请参阅 管理 Elastic Beanstalk 实例配置文件。

注意

以前，Elastic Beanstalk 会在 AWS 账户首次创建环境时创建一个名为 aws-elasticbeanstalk-ec2-role 的默认 EC2 实例配置文件。该实例配置文件包含默认的托管式策略。如果您的账户已经有该实例配置文件，则可继续将其分配到您的环境。

但根据最新的 AWS 安全准则，不允许 AWS 服务自动创建具有其他 AWS 服务（在本例中为 EC2）的信任策略的角色。根据这些安全准则，Elastic Beanstalk 将不再创建默认的 aws-elasticbeanstalk-ec2-role 实例配置文件。

环境安全性配置命名空间

Elastic Beanstalk 在以下命名空间中提供了配置选项来使您能够自定义环境的安全性：

• aws:elasticbeanstalk:environment - 使用 ServiceRole 选项配置环境的服务角色。

• aws:autoscaling:launchconfiguration - 使用 EC2KeyName 和 IamInstanceProfile 选项为环境的 Amazon EC2 实例配置权限。

EB CLI 和 Elastic Beanstalk 控制台会对前面的选项应用建议的值。如果您需要使用配置文件来配置相同的项，则必须删除这些设置。有关更多信息，请参阅 建议值。