Gestion des profils d'instance Elastic Beanstalk - AWS Elastic Beanstalk
Création d'un profil d'instanceAjout d'autorisations au profil d'instance par défautVérification des autorisations attribuées à votre profil d'instanceMettre à jour un profil d'instance par out-of-date défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des profils d'instance Elastic Beanstalk

Un profil d'instance est un conteneur pour un rôle AWS Identity and Access Management (IAM) que vous pouvez utiliser pour transmettre des informations de rôle à une EC2 instance Amazon lorsque celle-ci démarre.

Si votre AWS compte ne possède pas de profil d' EC2 instance, vous devez en créer un à l'aide du service IAM. Vous pouvez ensuite attribuer le profil d' EC2 instance aux nouveaux environnements que vous créez. Les étapes de création d'un environnement de la console Elastic Beanstalk vous permettent d'accéder à la console IAM, afin que vous puissiez EC2 créer un profil d'instance avec les autorisations requises.

Note

Elastic Beanstalk avait précédemment créé EC2 un aws-elasticbeanstalk-ec2-role profil d'instance par défaut nommé la première AWS fois qu'un compte créait un environnement. Ce profil d'instance incluait des stratégies gérées par défaut. Si votre compte possède déjà ce profil d'instance, vous pourrez toujours l'attribuer à vos environnements.

Cependant, les directives AWS de sécurité récentes n'autorisent pas un AWS service à créer automatiquement des rôles avec des politiques de confiance vis-à-vis d'autres AWS services, EC2 dans ce cas. En raison de ces directives de sécurité, Elastic Beanstalk ne crée plus de profil d'instance aws-elasticbeanstalk-ec2-role par défaut.

Politiques gérées

Elastic Beanstalk fournit plusieurs stratégies gérées pour permettre à votre environnement de répondre à différents cas d'utilisation. Pour répondre aux cas d'utilisation par défaut d'un environnement, ces politiques doivent être associées au rôle du profil d' EC2 instance.

  • AWSElasticBeanstalkWebTier— Autorise l'application à télécharger des journaux sur Amazon S3 et des informations de débogage vers AWS X-Ray. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkWebTierau Guide de référence des politiques AWS gérées.

  • AWSElasticBeanstalkWorkerTier— Accorde des autorisations pour le téléchargement des journaux, le débogage, la publication des métriques et les tâches relatives aux instances de travail, notamment la gestion des files d'attente, l'élection du leader et les tâches périodiques. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkWorkerTierau Guide de référence des politiques AWS gérées.

  • AWSElasticBeanstalkMulticontainerDocker— Autorise Amazon Elastic Container Service à coordonner les tâches de cluster pour les environnements Docker. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkMulticontainerDockerau Guide de référence des politiques AWS gérées.

Important

Les stratégies gérées par Elastic Beanstalk ne fournissent pas d'autorisations granulaires : elles accordent toutes les autorisations potentiellement nécessaires à l'utilisation des applications Elastic Beanstalk. Dans certains cas, vous souhaiterez peut-être restreindre davantage les autorisations de nos politiques gérées. Pour un exemple d'un cas d'utilisation, voirEmpêcher l'accès aux compartiments Amazon S3 entre environnements.

Nos stratégies gérées ne couvrent pas non plus les autorisations relatives aux ressources personnalisées que vous pourriez ajouter à votre solution et qui ne sont pas gérées par Elastic Beanstalk. Pour implémenter des autorisations plus granulaires, des autorisations minimales requises ou des autorisations de ressources personnalisées, utilisez des stratégies personnalisées.

Politique de relation de confiance pour EC2

Pour permettre aux EC2 instances de votre environnement d'assumer le rôle requis, le profil d'instance doit spécifier Amazon EC2 comme entité de confiance dans la politique de relation de confiance, comme suit.

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Pour personnaliser les autorisations, vous pouvez soit ajouter des stratégies au rôle attaché au profil d'instance par défaut, soit créer votre propre profil d'instance avec un ensemble limité d'autorisations.

Création d'un profil d'instance

Un profil d'instance est une enveloppe entourant un rôle IAM standard qui permet à une EC2 instance d'assumer ce rôle. Vous pouvez créer un profil d'instance avec les politiques gérées par défaut d'Elastic Beanstalk. Vous pouvez également créer des profils d'instance supplémentaires afin de personnaliser les autorisations pour différentes applications. Vous pouvez également créer un profil d'instance qui n'inclut pas les deux politiques gérées qui accordent des autorisations pour les environnements Docker gérés au niveau des travailleurs ou par ECS, si vous n'utilisez pas ces fonctionnalités.

Pour créer un profil d'instance avec les politiques gérées par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez Créer un rôle.

  3. Pour Type d’entité de confiance, choisissez Service AWS .

  4. Pour le service ou le cas d'utilisation, choisissez Elastic Beanstalk.

  5. Dans le cas d'utilisation, choisissez Elastic Beanstalk — Compute.

  6. Choisissez Suivant.

  7. Entrez un nom de rôle.

    Vous pouvez saisir le nom du rôle par défaut suggéré par la console Elastic Beanstalk :. aws-elasticbeanstalk-ec2-role

  8. Vérifiez que les politiques d'autorisations incluent les éléments suivants, puis choisissez Next :

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

  9. Choisissez Créer un rôle.

Pour créer un profil d'instance avec les politiques gérées de votre choix

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez Créer un rôle.

  3. Sous Trusted entity type (Type d’entité approuvée), choisissez service AWS .

  4. Sous Use case (Cas d'utilisation), choisissez EC2.

  5. Choisissez Suivant.

  6. Associez les stratégies gérées adéquates fournies par Elastic Beanstalk et toutes les stratégies supplémentaires fournissant les autorisations dont votre application a besoin.

  7. Choisissez Suivant.

  8. Entrez un nom pour le rôle.

  9. (Facultatif) Ajoutez des balises au rôle.

  10. Choisissez Créer un rôle.

Ajout d'autorisations au profil d'instance par défaut

Si votre application accède à des ressources AWS APIs ou auxquelles les autorisations ne sont pas accordées dans le profil d'instance par défaut, ajoutez des politiques qui accordent des autorisations dans la console IAM.

Pour ajouter des stratégies au rôle attaché au profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué comme profil d' EC2 instance.

  3. Sous l'onglet Permissions (Autorisations), choisissez Attach policies (Attacher des politiques).

  4. Sélectionnez la politique gérée relative aux services supplémentaires utilisés par votre application. Par exemple, AmazonS3FullAccess ou AmazonDynamoDBFullAccess.

  5. Choisissez Attach policy (Attacher la politique).

Vérification des autorisations attribuées à votre profil d'instance

Les autorisations allouées à votre profil d'instance par défaut peuvent varier en fonction de la date à laquelle il a été créé, de la date du dernier lancement d'un environnement et du client que vous avez utilisé. Vous pouvez vérifier les autorisations sur le profil d'instance par défaut dans la console IAM.

Pour vérifier les autorisations du profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué comme profil d' EC2 instance.

  3. Sur l'onglet Autorisations, vérifiez la liste de politiques attachée au rôle.

  4. Pour voir les autorisations octroyées par une stratégie, choisissez la stratégie.

Mettre à jour un profil d'instance par out-of-date défaut

Si le profil d'instance par défaut ne dispose pas des autorisations requises, vous pouvez ajouter manuellement les politiques gérées au rôle attribué en tant que profil d' EC2 instance.

Pour ajouter des stratégies gérées au rôle attaché au profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué comme profil d' EC2 instance.

  3. Sous l'onglet Permissions (Autorisations), choisissez Attach policies (Attacher des politiques).

  4. Saisissez AWSElasticBeanstalk pour filtrer les stratégies.

  5. Sélectionnez les politiques suivantes, puis choisissez Attacher une politique :

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker