Elastic Beanstalk Instance-Profile verwalten - AWS Elastic Beanstalk
Erstellen eines Instance-ProfilsHinzufügen von Berechtigungen zum Instance-StandardprofilÜberprüfen der dem Instance-Profil zugeordneten BerechtigungenAktualisierung eines out-of-date Standard-Instanzprofils

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Elastic Beanstalk Instance-Profile verwalten

Ein Instance-Profil ist ein Container für eine AWS Identity and Access Management (IAM-) Rolle, den Sie verwenden können, um Rolleninformationen an eine EC2 Amazon-Instance zu übergeben, wenn die Instance gestartet wird.

Wenn Ihr AWS Konto kein EC2 Instance-Profil hat, müssen Sie eines mit dem IAM-Service erstellen. Anschließend können Sie das EC2 Instanzprofil neuen Umgebungen zuweisen, die Sie erstellen. Die Schritte Umgebung erstellen in der Elastic Beanstalk Beanstalk-Konsole bieten Ihnen Zugriff auf die IAM-Konsole, sodass Sie ein EC2 Instance-Profil mit den erforderlichen Berechtigungen erstellen können.

Anmerkung

Zuvor hat Elastic Beanstalk ein EC2 Standard-Instanzprofil erstellt, aws-elasticbeanstalk-ec2-role das beim ersten Erstellen einer Umgebung durch ein AWS Konto benannt wurde. Dieses Instance-Profil enthielt verwaltete Standardrichtlinien. Wenn Ihr Konto bereits über dieses Instance-Profil verfügt, können Sie es weiterhin Ihren Umgebungen zuweisen.

Aktuelle AWS Sicherheitsrichtlinien erlauben es in diesem Fall jedoch nicht, dass ein AWS Service automatisch Rollen mit Vertrauensrichtlinien für andere AWS Dienste erstellt. EC2 Aufgrund dieser Sicherheitsrichtlinien erstellt Elastic Beanstalk kein aws-elasticbeanstalk-ec2-role-Standard-Instance-Profil mehr.

Verwaltete Richtlinien

Elastic Beanstalk bietet mehrere verwaltete Richtlinien, damit Ihre Umgebung unterschiedlichen Anwendungsfällen gerecht wird. Um den Standardanwendungsfällen für eine Umgebung gerecht zu werden, müssen diese Richtlinien der Rolle für das EC2 Instanzprofil zugewiesen werden.

  • AWSElasticBeanstalkWebTier— Erteilt der Anwendung Berechtigungen zum Hochladen von Protokollen auf Amazon S3 und zum Debuggen von Informationen. AWS X-Ray Informationen zum Inhalt der verwalteten Richtlinien finden Sie AWSElasticBeanstalkWebTierim Referenzhandbuch für AWS verwaltete Richtlinien.

  • AWSElasticBeanstalkWorkerTier— Erteilt Berechtigungen für Protokoll-Uploads, Debugging, Veröffentlichung von Metriken und Worker-Instance-Aufgaben, einschließlich Warteschlangenverwaltung, Wahl des Leiters und periodische Aufgaben. Informationen zum Inhalt der verwalteten Richtlinien finden Sie AWSElasticBeanstalkWorkerTierim Referenzhandbuch für AWS verwaltete Richtlinien.

  • AWSElasticBeanstalkMulticontainerDocker— Erteilt dem Amazon Elastic Container Service Berechtigungen zur Koordination von Cluster-Aufgaben für Docker-Umgebungen. Informationen zum Inhalt der verwalteten Richtlinien finden Sie AWSElasticBeanstalkMulticontainerDockerim Referenzhandbuch für AWS verwaltete Richtlinien.

Wichtig

Von Elastic Beanstalk verwaltete Richtlinien bieten keine granularen Berechtigungen – sie gewähren alle Berechtigungen, die möglicherweise für die Arbeit mit Elastic-Beanstalk-Anwendungen erforderlich sind. In einigen Fällen möchten Sie möglicherweise die Berechtigungen unserer verwalteten Richtlinien weiter einschränken. Ein Beispiel für einen Anwendungsfall finden Sie unterVerhinderung des umgebungsübergreifenden Amazon S3 S3-Bucket-Zugriffs.

Unsere verwalteten Richtlinien decken auch keine Berechtigungen für benutzerdefinierte Ressourcen ab, die Sie möglicherweise zu Ihrer Lösung hinzufügen und die nicht von Elastic Beanstalk verwaltet werden. Verwenden Sie benutzerdefinierte Richtlinien, um detailliertere Berechtigungen, mindestens erforderliche Berechtigungen oder benutzerdefinierte Ressourcenberechtigungen zu implementieren.

Richtlinie für Vertrauensbeziehungen EC2

Damit die EC2 Instances in Ihrer Umgebung die erforderliche Rolle übernehmen können, muss das Instance-Profil Amazon in der Vertrauensbeziehungsrichtlinie EC2 wie folgt als vertrauenswürdige Entität angeben.

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Wenn Sie die Berechtigungen anpassen möchten, können Sie entweder Richtlinien zur Rolle hinzufügen, die dem Instance-Standardprofil angefügt ist, oder ein eigenes Instance-Profil mit eingeschränkten Berechtigungen erstellen.

Erstellen eines Instance-Profils

Ein Instance-Profil ist ein Wrapper rund um eine Standard-IAM-Rolle, der es einer EC2 Instance ermöglicht, diese Rolle zu übernehmen. Sie können ein Instanzprofil mit den standardmäßigen verwalteten Elastic Beanstalk Beanstalk-Richtlinien erstellen. Sie können auch zusätzliche Instanzprofile erstellen, um die Berechtigungen für verschiedene Anwendungen anzupassen. Oder Sie können ein Instanzprofil erstellen, das die beiden verwalteten Richtlinien, die Berechtigungen für Docker-Umgebungen auf Worker-Ebene oder ECS-verwaltete Docker-Umgebungen gewähren, nicht enthält, wenn Sie diese Funktionen nicht verwenden.

Um ein Instanzprofil mit den standardmäßigen verwalteten Richtlinien zu erstellen

  1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

  2. Wählen Sie Rolle erstellen aus.

  3. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS -Service aus.

  4. Wählen Sie für Service oder Anwendungsfall Elastic Beanstalk.

  5. Wählen Sie als Anwendungsfall Elastic Beanstalk — Compute.

  6. Wählen Sie Weiter aus.

  7. Geben Sie einen Role name ein.

    Sie können den Namen der Standardrolle eingeben, die die Elastic Beanstalk Beanstalk-Konsole vorschlägt:. aws-elasticbeanstalk-ec2-role

  8. Vergewissern Sie sich, dass die Berechtigungsrichtlinien Folgendes beinhalten, und wählen Sie dann Weiter aus:

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

  9. Wählen Sie Rolle erstellen aus.

Um ein Instanzprofil mit einer bestimmten Auswahl an verwalteten Richtlinien zu erstellen

  1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

  2. Wählen Sie Rolle erstellen aus.

  3. Wählen Sie unter Typ der vertrauenswürdigen Entität die Option AWS -Service aus.

  4. Wählen Sie unter Use case (Anwendungsfall) EC2 aus.

  5. Wählen Sie Weiter aus.

  6. Fügen Sie die entsprechenden von Elastic Beanstalk bereitgestellten verwalteten Richtlinien sowie weitere Richtlinien hinzu, um der Anwendung die erforderlichen Berechtigungen zu erteilen.

  7. Wählen Sie Weiter aus.

  8. Geben Sie einen Namen für die Rolle ein.

  9. (Optional) Fügen Sie der Rolle Tags hinzu.

  10. Wählen Sie Rolle erstellen aus.

Hinzufügen von Berechtigungen zum Instance-Standardprofil

Wenn Ihre Anwendung auf Ressourcen zugreift AWS APIs oder für die im Standard-Instanzprofil keine Berechtigungen gewährt wurden, fügen Sie Richtlinien hinzu, die Berechtigungen in der IAM-Konsole gewähren.

Hinzufügen von Richtlinien zur Rolle, die dem Instance-Standardprofil angefügt ist

  1. Öffnen Sie die Seite Roles (Rollen) in der IAM-Konsole.

  2. Wählen Sie die Rolle aus, die Ihnen als EC2 Instanzprofil zugewiesen wurde.

  3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Attach policies (Richtlinien anfügen) aus.

  4. Wählen Sie die verwaltete Richtlinie für die zusätzlichen Services aus, die von der Anwendung verwendet werden. Zum Beispiel AmazonS3FullAccess oder AmazonDynamoDBFullAccess.

  5. Wählen Sie Richtlinie anfügen aus.

Überprüfen der dem Instance-Profil zugeordneten Berechtigungen

Die Berechtigungen, die dem Instance-Standardprofil zugeordnet sind, können je nach Erstellungsdatum, Datum des letzten Umgebungsstarts und verwendetem Client unterschiedlich sein. Die Berechtigungen für das Instance-Standardprofil können Sie in der IAM-Konsole überprüfen.

So überprüfen Sie die Berechtigungen des Instance-Standardprofils

  1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

  2. Wählen Sie die Rolle aus, die Ihnen als EC2 Instanzprofil zugewiesen wurde.

  3. Prüfen Sie auf der Registerseite Permissions (Berechtigungen) die der Rolle angefügte Liste von Richtlinien.

  4. Um die von einer Richtlinie erteilten Berechtigungen anzuzeigen, wählen Sie die Richtlinie aus.

Aktualisierung eines out-of-date Standard-Instanzprofils

Wenn das Standard-Instanzprofil nicht über die erforderlichen Berechtigungen verfügt, können Sie die verwalteten Richtlinien manuell zu der Rolle hinzufügen, die Ihnen als EC2 Instanzprofil zugewiesen wurde.

Hinzufügen von verwalteten Richtlinien zur Rolle, die dem Instance-Standardprofil angefügt ist

  1. Öffnen Sie die Seite Roles (Rollen)in der IAM-Konsole.

  2. Wählen Sie die Rolle aus, die Ihnen als EC2 Instanzprofil zugewiesen wurde.

  3. Wählen Sie auf der Registerkarte Permissions (Berechtigungen) die Option Attach policies (Richtlinien anfügen) aus.

  4. Geben Sie AWSElasticBeanstalk ein, um die Richtlinien zu filtern.

  5. Wählen Sie die folgenden Richtlinien und anschließend Attach Policies (Richtlinien anfügen) aus:

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker