管理 Elastic Beanstalk 執行個體描述檔 - AWS Elastic Beanstalk
建立執行個體描述檔驗證指派給執行個體設定檔的許可更新 out-of-date 預設執行個體設定檔於預設執行個體描述檔新增許可

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 Elastic Beanstalk 執行個體描述檔

執行個體設定檔是 AWS Identity and Access Management (IAM) 角色的容器,您可以在執行個體啟動時將角色資訊傳遞給 Amazon EC2 執行個體。

如果您的 AWS 帳戶沒有 EC2 執行個體設定檔,您必須使用 IAM 服務建立一個。然後,您可以將 EC2 執行個體設定檔指派給您建立的新環境。建立環境精靈提供可指導您完成 IAM 服務的資訊,以便您建立具有所需許可的 EC2 執行個體設定檔。建立執行個體設定檔後,您就可以返回主控台,將其選為 EC2 執行個體設定檔,然後繼續建立環境的步驟。

注意

之前,Elastic Beanstalk 建立了一個預設的 EC2 執行個體設定檔,名為aws-elasticbeanstalk-ec2-role AWS 帳戶第一次建立環境時。此執行個體設定檔包含預設受管政策。如果您的帳戶已經擁有此執行個體設定檔,您仍然可以將其指派給您的環境。

不過,最近的 AWS 安全性準則不允許 AWS 服務自動建立具有信任政策的角色給其他 AWS 服務 (在這種情況下為 EC2)。基於這些安全性準則,Elastic Beanstalk 不再建立預設 aws-elasticbeanstalk-ec2-role 執行個體設定檔。

受管政策

Elastic Beanstalk 提供多種受管政策,讓您的環境能夠滿足不同的使用案例。若要符合環境的預設使用案例,這些政策必須附加至 EC2 執行個體設定檔的角色。

  • AWSElasticBeanstalkWebTier— 授予應用程式將日誌上傳到 Amazon S3 並將資訊偵錯到的許可 AWS X-Ray。若要檢視受管理的策略內容,請參閱《AWS 受管策略參考指南》AWSElasticBeanstalkWebTier中的。

  • AWSElasticBeanstalkWorkerTier— 授與記錄檔上傳、偵錯、指標發佈和背景工作執行個體工作的權限,包括佇列管理、領導者選舉和定期工作。若要檢視受管理的策略內容,請參閱《AWS 受管策略參考指南》AWSElasticBeanstalkWorkerTier中的。

  • AWSElasticBeanstalkMulticontainerDocker— 授予 Amazon 彈性容器服務的許可,以協調 Docker 環境的叢集任務。若要檢視受管理的策略內容,請參閱《AWS 受管策略參考指南》AWSElasticBeanstalkMulticontainerDocker中的。

重要

Elastic Beanstalk 受管政策不提供精細許可,其會授予使用 Elastic Beanstalk 應用程式可能需要的所有許可。在某些情況下,您可能希望進一步限制我們託管策略的權限。如需一個使用案例的範例,請參閱防止跨環境 Amazon S3 儲存貯體存取

此外,我們的受管政策也不涵蓋您可能新增至解決方案,並且不由 Elastic Beanstalk 管理的自訂資源許可。若要實作更精細的許可、最低必要許可或自訂資源許可,請使用自訂政策

EC2 的信任關係政策

為了讓環境中的 EC2 執行個體能夠擔任必要的角色,執行個體設定檔必須在信任關係政策中,將 Amazon EC2 指定為受信任實體,如下所示。

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

若要自訂許可,您可將政策新增至連接預設執行個體描述檔的角色,或自行建立具備一組受限許可的執行個體描述檔。

建立執行個體描述檔

執行個體描述檔為標準 IAM 角色的包裝函式,可允許 EC2 執行個體擔任該角色。您可以建立其他執行個體設定檔來自訂不同應用程式的許可。或者,如果您不使用這些功能,則可以建立不授予工作者層或 ECS 受管 Docker 環境許可的執行個體設定檔。

建立執行個體設定檔

  1. 在 IAM 主控台中開啟 Roles (角色) 頁面

  2. 選擇 建立角色

  3. 受信任的實體類型下,選擇 AWS  服務

  4. Use case (使用案例) 下,選擇 EC2

  5. 選擇下一步

  6. 連接 Elastic Beanstalk 提供的合適受管政策,以及為您的應用程式提供所需許可的其他政策。

  7. 選擇下一步

  8. 輸入角色的名稱。

  9. (選用) 附加標籤至角色。

  10. 選擇建立角色

驗證指派給執行個體設定檔的許可

指派給您預設執行個體描述檔的許可,可能會根據其建立的時間、上次啟動環境的時間和使用的用戶端,而有所不同。您可以在 IAM 主控台中,驗證預設執行個體描述檔上的許可。

若要驗證預設執行個體描述檔的許可

  1. 在 IAM 主控台中開啟 Roles (角色) 頁面

  2. 選擇指派為 EC2 執行個體設定檔的角色。

  3. Permissions (許可) 索引標籤中,請檢閱角色連接的政策清單。

  4. 若要查看政策所授予的許可,請選擇政策。

更新 out-of-date 預設執行個體設定檔

如果預設執行個體設定檔缺少必要的許可,您可手動將受管政策新增至指派為 EC2 執行個體設定檔的角色。

若要在連接至預設執行個體描述檔的角色中新增受管政策

  1. 在 IAM 主控台中開啟 Roles (角色) 頁面

  2. 選擇指派為 EC2 執行個體設定檔的角色。

  3. Permissions (許可) 標籤上,選擇 Attach policies (連接政策)。

  4. 輸入 AWSElasticBeanstalk 來篩選政策。

  5. 選擇下列的政策,然後選擇 Attach policy (連接政策):

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

於預設執行個體描述檔新增許可

如果您的應用程式存取預設執行個體設定檔中未授與許可的 AWS API 或資源,請在 IAM 主控台中新增授予權限的政策。

若要在連接至預設執行個體描述檔的角色中新增政策

  1. 在 IAM 主控台中開啟 Roles (角色) 頁面

  2. 選擇指派為 EC2 執行個體設定檔的角色。

  3. Permissions (許可) 標籤上,選擇 Attach policies (連接政策)。

  4. 為您的應用程式使用的其他服務,選取受管原則,例如 AmazonS3FullAccessAmazonDynamoDBFullAccess

  5. 選擇連接政策