Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Elastic Beanstalk Instance-Profile verwalten
<a name="iam-instanceprofile"></a>

Ein Instance-Profil ist ein Container für eine AWS Identity and Access Management (IAM-) Rolle, den Sie verwenden können, um Rolleninformationen an eine Amazon EC2 EC2-Instance zu übergeben, wenn die Instance gestartet wird. 

Wenn Ihr AWS Konto kein EC2-Instance-Profil hat, müssen Sie eines mit dem IAM-Service erstellen. Anschließend können Sie das EC2-Instance-Profil neuen Umgebungen zuweisen, die Sie erstellen. Die Schritte **Umgebung erstellen** in der Elastic Beanstalk Beanstalk-Konsole bieten Ihnen Zugriff auf die IAM-Konsole, sodass Sie ein EC2-Instance-Profil mit den erforderlichen Berechtigungen erstellen können.

**Anmerkung**  
Zuvor hat Elastic Beanstalk ein standardmäßiges EC2-Instance-Profil erstellt, `aws-elasticbeanstalk-ec2-role` das beim ersten Erstellen einer Umgebung durch ein AWS Konto benannt wurde. Dieses Instance-Profil enthielt verwaltete Standardrichtlinien. Wenn Ihr Konto bereits über dieses Instance-Profil verfügt, können Sie es weiterhin Ihren Umgebungen zuweisen.  
Aktuelle AWS Sicherheitsrichtlinien erlauben es einem AWS Service jedoch nicht, automatisch Rollen mit Vertrauensrichtlinien für andere AWS Dienste, in diesem Fall EC2, zu erstellen. Aufgrund dieser Sicherheitsrichtlinien erstellt Elastic Beanstalk kein `aws-elasticbeanstalk-ec2-role`-Standard-Instance-Profil mehr.



**Verwaltete Richtlinien**  
Elastic Beanstalk bietet mehrere verwaltete Richtlinien, damit Ihre Umgebung unterschiedlichen Anwendungsfällen gerecht wird. Um die Standardanwendungsfälle für eine Umgebung zu erfüllen, müssen diese Richtlinien der Rolle für das EC2-Instance-Profil zugeordnet werden. 
+ **AWSElasticBeanstalkWebTier**— Erteilt der Anwendung Berechtigungen zum Hochladen von Protokollen auf Amazon S3 und zum Debuggen von Informationen. AWS X-Ray Informationen zum Inhalt der verwalteten Richtlinien finden Sie [AWSElasticBeanstalkWebTier](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkWebTier.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.* 
+ **AWSElasticBeanstalkWorkerTier**— Erteilt Berechtigungen für Protokoll-Uploads, Debugging, Veröffentlichung von Metriken und Worker-Instance-Aufgaben, einschließlich Warteschlangenverwaltung, Wahl des Leiters und periodische Aufgaben. Informationen zum Inhalt der verwalteten Richtlinien finden Sie [AWSElasticBeanstalkWorkerTier](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkWorkerTier.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*
+ **AWSElasticBeanstalkMulticontainerDocker**— Erteilt dem Amazon Elastic Container Service Berechtigungen zur Koordination von Cluster-Aufgaben für Docker-Umgebungen. Informationen zum Inhalt der verwalteten Richtlinien finden Sie [AWSElasticBeanstalkMulticontainerDocker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkMulticontainerDocker.html)im *Referenzhandbuch für AWS verwaltete Richtlinien.*



**Wichtig**  
Von Elastic Beanstalk verwaltete Richtlinien bieten keine granularen Berechtigungen – sie gewähren alle Berechtigungen, die möglicherweise für die Arbeit mit Elastic-Beanstalk-Anwendungen erforderlich sind. In einigen Fällen möchten Sie möglicherweise die Berechtigungen unserer verwalteten Richtlinien weiter einschränken. Ein Beispiel für einen Anwendungsfall finden Sie unter[Verhinderung des umgebungsübergreifenden Amazon S3 S3-Bucket-Zugriffs](AWSHowTo.iam.cross-env-s3-access.md).  
Unsere verwalteten Richtlinien decken auch keine Berechtigungen für benutzerdefinierte Ressourcen ab, die Sie möglicherweise zu Ihrer Lösung hinzufügen und die nicht von Elastic Beanstalk verwaltet werden. Verwenden Sie benutzerdefinierte [Richtlinien](AWSHowTo.iam.managed-policies.md#AWSHowTo.iam.policies), um detailliertere Berechtigungen, mindestens erforderliche Berechtigungen oder benutzerdefinierte Ressourcenberechtigungen zu implementieren.

**Richtlinie für Vertrauensbeziehungen für EC2**  
Damit die EC2-Instances in der Umgebung die eforderliche Rolle übernehmen können, muss das Instance-Profil Amazon EC2 wie folgt als vertrauenswürdige Entität in der Vertrauensstellungsrichtlinie angeben:

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Wenn Sie die Berechtigungen anpassen möchten, können Sie entweder Richtlinien zur Rolle hinzufügen, die dem Instance-Standardprofil angefügt ist, oder ein eigenes Instance-Profil mit eingeschränkten Berechtigungen erstellen.

Um die [KI-gestützte Umgebungsanalysefunktion](health-ai-analysis.md) zu verwenden, fügen Sie Ihrem Instanzprofil die `bedrock:InvokeModel` `elasticbeanstalk:DescribeEnvironmentHealth` Berechtigungen`elasticbeanstalk:DescribeEvents`,, und hinzu. `bedrock:ListFoundationModels` Diese Berechtigungen ermöglichen es Elastic Beanstalk, Amazon Bedrock zu verwenden und auf Umgebungsdaten zuzugreifen, um Protokolle, Ereignisse und den Zustand der Instance zu analysieren. Wenn dies das erste Mal ist, dass ein Modell von Anthropic Claude in Ihrem AWS Konto verwendet wird, fügen Sie auch die Berechtigungen, `aws-marketplace:Subscribe` und `aws-marketplace:Unsubscribe` hinzu. `aws-marketplace:ViewSubscriptions` Diese AWS Marketplace-Berechtigungen ermöglichen das automatische Modellabonnement, das Amazon Bedrock für den erstmaligen Zugriff auf Modelle von Drittanbietern benötigt.

**Topics**
+ [Erstellen eines Instance-Profils](#iam-instanceprofile-create)
+ [Hinzufügen von Berechtigungen zum Instance-Standardprofil](#iam-instanceprofile-addperms)
+ [Überprüfen der dem Instance-Profil zugeordneten Berechtigungen](#iam-instanceprofile-verify)
+ [Aktualisierung eines out-of-date Standard-Instanzprofils](#iam-instanceprofile-update)

## Erstellen eines Instance-Profils
<a name="iam-instanceprofile-create"></a>

Ein Instance-Profil ist ein Wrapper für eine IAM-Standardrolle, damit eine EC2-Instance die Rolle übernehmen kann. Sie können ein Instanzprofil mit den standardmäßigen verwalteten Elastic Beanstalk Beanstalk-Richtlinien erstellen. Sie können auch zusätzliche Instanzprofile erstellen, um die Berechtigungen für verschiedene Anwendungen anzupassen. Oder Sie können ein Instanzprofil erstellen, das die beiden verwalteten Richtlinien, die Berechtigungen für Docker-Umgebungen auf Worker-Ebene oder ECS-verwaltete Docker-Umgebungen gewähren, nicht enthält, wenn Sie diese Funktionen nicht verwenden.

**Um ein Instanzprofil mit den standardmäßigen verwalteten Richtlinien zu erstellen**

1. Öffnen Sie die Seite [https://console.aws.amazon.com/iam/home#roles](https://console.aws.amazon.com/iam/home#roles)in der IAM-Konsole.

1. Wählen Sie **Rolle erstellen** aus.

1. Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option **AWS -Service** aus.

1. Wählen Sie für **Service oder Anwendungsfall** **Elastic Beanstalk**.

1. Wählen Sie als **Anwendungsfall** **Elastic Beanstalk — Compute**. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen **Role name** ein.

   Sie können den Namen der Standardrolle eingeben, die die Elastic Beanstalk Beanstalk-Konsole vorschlägt:. `aws-elasticbeanstalk-ec2-role`

1. **Vergewissern Sie sich, dass **die Berechtigungsrichtlinien** Folgendes beinhalten, und wählen Sie dann Weiter aus:**
   + `AWSElasticBeanstalkWebTier`
   + `AWSElasticBeanstalkWorkerTier`
   + `AWSElasticBeanstalkMulticontainerDocker`

1. Wählen Sie **Rolle erstellen** aus.

**Um ein Instanzprofil mit einer bestimmten Auswahl an verwalteten Richtlinien zu erstellen**

1. Öffnen Sie die Seite [https://console.aws.amazon.com/iam/home#roles](https://console.aws.amazon.com/iam/home#roles)in der IAM-Konsole.

1. Wählen Sie **Rolle erstellen** aus.

1. Wählen Sie unter **Typ der vertrauenswürdigen Entität** die Option **AWS -Service** aus.

1. Wählen Sie unter **Use case** (Anwendungsfall) die Option **EC2** aus.

1. Wählen Sie **Weiter** aus.

1. Fügen Sie die entsprechenden von Elastic Beanstalk bereitgestellten verwalteten Richtlinien sowie weitere Richtlinien hinzu, um der Anwendung die erforderlichen Berechtigungen zu erteilen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie einen Namen für die Rolle ein.

1. (Optional) Fügen Sie der Rolle Tags hinzu.

1. Wählen Sie **Rolle erstellen** aus.

## Hinzufügen von Berechtigungen zum Instance-Standardprofil
<a name="iam-instanceprofile-addperms"></a>

Wenn Ihre Anwendung auf Ressourcen zugreift AWS APIs oder für die im Standard-Instanzprofil keine Berechtigungen gewährt wurden, fügen Sie Richtlinien hinzu, die Berechtigungen in der IAM-Konsole gewähren.

**Hinzufügen von Richtlinien zur Rolle, die dem Instance-Standardprofil angefügt ist**

1. Öffnen Sie die Seite [Roles (Rollen)](https://console.aws.amazon.com/iam/home#roles) in der IAM-Konsole.

1. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

1. Wählen Sie auf der Registerkarte **Permissions (Berechtigungen)** die Option **Attach policies (Richtlinien anfügen)** aus.

1. Wählen Sie die verwaltete Richtlinie für die zusätzlichen Services aus, die von der Anwendung verwendet werden. Zum Beispiel `AmazonS3FullAccess` oder `AmazonDynamoDBFullAccess`.

1. Wählen Sie **Richtlinie anfügen** aus.

## Überprüfen der dem Instance-Profil zugeordneten Berechtigungen
<a name="iam-instanceprofile-verify"></a>

Die Berechtigungen, die dem Instance-Standardprofil zugeordnet sind, können je nach Erstellungsdatum, Datum des letzten Umgebungsstarts und verwendetem Client unterschiedlich sein. Die Berechtigungen für das Instance-Standardprofil können Sie in der IAM-Konsole überprüfen.

**So überprüfen Sie die Berechtigungen des Instance-Standardprofils**

1. Öffnen Sie die Seite [https://console.aws.amazon.com/iam/home#roles](https://console.aws.amazon.com/iam/home#roles)in der IAM-Konsole.

1. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

1. Prüfen Sie auf der Registerseite **Permissions (Berechtigungen)** die der Rolle angefügte Liste von Richtlinien.

1. Um die von einer Richtlinie erteilten Berechtigungen anzuzeigen, wählen Sie die Richtlinie aus.

## Aktualisierung eines out-of-date Standard-Instanzprofils
<a name="iam-instanceprofile-update"></a>

Falls benötigte Berechtigungen für das Instance-Standardprofil fehlen, können Sie die verwalteten Richtlinien manuell zu der Ihrem EC2-Instance-Profil zugewiesen Rolle hinzufügen.

**Hinzufügen von verwalteten Richtlinien zur Rolle, die dem Instance-Standardprofil angefügt ist**

1. Öffnen Sie die Seite [https://console.aws.amazon.com/iam/home#roles](https://console.aws.amazon.com/iam/home#roles)in der IAM-Konsole.

1. Wählen Sie die Rolle, die Ihnen als EC2-Instance-Profil zugewiesen wurde.

1. Wählen Sie auf der Registerkarte **Permissions (Berechtigungen)** die Option **Attach policies (Richtlinien anfügen)** aus.

1. Geben Sie **AWSElasticBeanstalk** ein, um die Richtlinien zu filtern.

1. Wählen Sie die folgenden Richtlinien und anschließend **Attach Policies (Richtlinien anfügen)** aus:
   + `AWSElasticBeanstalkWebTier`
   + `AWSElasticBeanstalkWorkerTier`
   + `AWSElasticBeanstalkMulticontainerDocker`