Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administración de perfiles de instancia de Elastic Beanstalk
Un perfil de instancia es un contenedor para un rol AWS Identity and Access Management (IAM) que puedes usar para pasar la información del rol a una EC2 instancia de Amazon cuando se inicia la instancia.
Si tu AWS cuenta no tiene un perfil de EC2 instancia, debes crear uno mediante el servicio de IAM. A continuación, puede asignar el perfil de EC2 instancia a los nuevos entornos que cree. Los pasos Crear entorno de la consola de Elastic Beanstalk le proporcionan acceso a la consola de IAM para que pueda EC2 crear un perfil de instancia con los permisos necesarios.
nota
Anteriormente, Elastic Beanstalk creaba un aws-elasticbeanstalk-ec2-role perfil de instancia predeterminado denominado la primera AWS vez que EC2 una cuenta creaba un entorno. Este perfil de instancia incluía políticas administradas predeterminadas. Si su cuenta ya tiene este perfil de instancia, seguirá estando disponible para que lo asigne a sus entornos.
Sin embargo, en este caso, las directrices de AWS seguridad recientes no permiten que un AWS servicio cree roles automáticamente con políticas de confianza para otros AWS servicios. EC2 Debido a estas directrices de seguridad, Elastic Beanstalk ya no crea un perfil de instancia aws-elasticbeanstalk-ec2-role predeterminado.
Políticas administradas
Elastic Beanstalk proporciona varias políticas administradas para permitir que su entorno satisfaga diferentes casos de uso. Para cumplir con los casos de uso predeterminados de un entorno, estas políticas deben estar asociadas al rol del perfil de la EC2 instancia.
-
AWSElasticBeanstalkWebTier— Otorga permisos para que la aplicación cargue registros en Amazon S3 y suba información de depuración a AWS X-Ray. Para ver el contenido de las políticas administradas, consulte AWSElasticBeanstalkWebTierla Guía de referencia de políticas AWS administradas.
-
AWSElasticBeanstalkWorkerTier— Otorga permisos para la carga de registros, la depuración, la publicación de métricas y las tareas de creación de instancias de trabajo, incluidas la gestión de colas, la elección de líderes y las tareas periódicas. Para ver el contenido de las políticas gestionadas, consulte la Guía AWSElasticBeanstalkWorkerTierde referencia de políticas AWS gestionadas.
-
AWSElasticBeanstalkMulticontainerDocker— Otorga permisos para que Amazon Elastic Container Service coordine las tareas del clúster para los entornos de Docker. Para ver el contenido de las políticas administradas, consulte AWSElasticBeanstalkMulticontainerDockerla Guía de referencia de políticas AWS administradas.
importante
Las políticas administradas de Elastic Beanstalk no proporcionan permisos granulares, ya que otorgan todos los permisos potencialmente necesarios para trabajar con aplicaciones de Elastic Beanstalk. En algunos casos, es posible que desee restringir aún más los permisos de nuestras políticas administradas. Para ver un ejemplo de un caso de uso, consulte Prohibición del acceso al bucket de Amazon S3 en distintos entornos.
Nuestras políticas administradas tampoco incluyen los permisos para recursos personalizados que puede agregar a su solución y que no son administrados por Elastic Beanstalk. Para implementar permisos más granulares, permisos mínimos requeridos o permisos personalizados a nivel de recursos, utilice políticas personalizadas.
Política de relaciones de confianza para EC2
Para permitir que las EC2 instancias de su entorno asuman la función requerida, el perfil de la instancia debe especificar Amazon EC2 como entidad de confianza en la política de relaciones de confianza, de la siguiente manera.
{
"Version": "2008-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}Para personalizar los permisos, puede añadir políticas al rol asociado al perfil de instancia predeterminado o crear su propio perfil de instancia con un conjunto restringido de permisos.
Secciones
Creación de un perfil de instancia
Un perfil de instancia es un envoltorio en torno a un rol de IAM estándar que permite que una EC2 instancia asuma ese rol. Puede crear un perfil de instancia con las políticas administradas predeterminadas de Elastic Beanstalk. También puede crear perfiles de instancias adicionales para personalizar los permisos de diferentes aplicaciones. O bien, puedes crear un perfil de instancia que no incluya las dos políticas administradas que conceden permisos para entornos Docker gestionados por ECS o de nivel de trabajador, si no utilizas esas funciones.
Para crear un perfil de instancia con las políticas administradas predeterminadas
-
Abra la página Roles
en la consola de IAM -
Elija Crear rol.
-
En Tipo de entidad de confianza, elija Servicio de AWS .
-
Para el servicio o el caso de uso, elija Elastic Beanstalk.
-
En Caso de uso, elija Elastic Beanstalk — Compute.
-
Elija Siguiente.
-
Escriba un Role name.
Puede introducir el nombre del rol predeterminado que sugiere la consola de Elastic Beanstalk:.
aws-elasticbeanstalk-ec2-role -
Compruebe que las políticas de permisos incluyen lo siguiente y, a continuación, seleccione Siguiente:
AWSElasticBeanstalkWebTierAWSElasticBeanstalkWorkerTierAWSElasticBeanstalkMulticontainerDocker
Seleccione Crear rol.
Para crear un perfil de instancia con su elección específica de políticas administradas
-
Abra la página Roles
en la consola de IAM -
Elija Creación de rol.
-
En Tipo de entidad de confianza, seleccione Servicio de AWS .
-
En Use case (Caso de uso), elija EC2.
-
Elija Siguiente.
-
Asocie las políticas administradas correspondientes proporcionadas por Elastic Beanstalk y cualquier otra política que proporcione permisos que necesite su aplicación.
-
Elija Siguiente.
-
Escriba un nombre para el rol.
-
(Opcional) Añada etiquetas al rol.
-
Seleccione Crear rol.
Añadir permisos al perfil de instancia predeterminado
Si tu aplicación accede a recursos AWS APIs o a los que no se conceden permisos en el perfil de instancia predeterminado, añade políticas que concedan permisos en la consola de IAM.
Para agregar políticas al rol adjuntado al perfil de instancia predeterminado
-
Abra la página Roles
en la consola de IAM. -
Elija el rol asignado como perfil de EC2 instancia.
-
En la pestaña Permissions (Permisos), elija Attach policies (Adjuntar políticas).
-
Seleccione la política administrada que se aplicará a los demás servicios que utilice la aplicación. Por ejemplo,
AmazonS3FullAccessoAmazonDynamoDBFullAccess. -
Elija Asociar política.
Verificación de los permisos asignados al perfil de instancia
Los permisos asignados al perfil de instancia predeterminado pueden variar en función de cuándo se creó el perfil, la última vez que se lanzó un entorno y el cliente que se utilizó. Puede verificar los permisos del perfil de instancia en la consola de IAM.
Para verificar los permisos del perfil de instancia predeterminado
-
Abra la página Roles
en la consola de IAM -
Elija el rol asignado como perfil de EC2 instancia.
-
Revise la lista de políticas asociadas al rol en la pestaña Permissions (Permisos).
-
Para ver los permisos que concede una política, elija la política.
Actualizar un perfil de instancia out-of-date predeterminado
Si el perfil de instancia predeterminado carece de los permisos necesarios, puedes añadir las políticas administradas al rol asignado como perfil de EC2 instancia de forma manual.
Para agregar políticas administradas al rol adjuntado al perfil de instancia predeterminado
-
Abra la página Roles
en la consola de IAM -
Elija el rol asignado como perfil de EC2 instancia.
-
En la pestaña Permissions (Permisos), elija Attach policies (Asociar políticas).
-
Escriba
AWSElasticBeanstalkpara filtrar las políticas. -
Seleccione las siguientes políticas y, después, elija Attach policy (Asociar política):
-
AWSElasticBeanstalkWebTier -
AWSElasticBeanstalkWorkerTier -
AWSElasticBeanstalkMulticontainerDocker
-
