Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruoli, profili di istanza e policy utente di Elastic Beanstalk Service
I ruoli sono entità create con AWS Identity and Access Management (IAM) per applicare le autorizzazioni. Esistono ruoli necessari per il corretto funzionamento dell'ambiente Elastic Beanstalk. Hai anche la possibilità di creare politiche e ruoli personalizzati che puoi assegnare a utenti o gruppi.
## Ruoli richiesti per il tuo ambiente Elastic Beanstalk
Quando crei un ambiente, ti AWS Elastic Beanstalk chiede di fornire i seguenti ruoli AWS Identity and Access Management (IAM):
+ [Ruolo di servizio](concepts-roles-service.md): Elastic Beanstalk assume un ruolo di servizio per utilizzarne altri per conto dell'utente. Servizi AWS
+ [Profilo dell'istanza](concepts-roles-instance.md) Elastic Beanstalk applica un profilo di istanza alle istanze Amazon EC2 del tuo ambiente. Questa azione consente loro di eseguire le attività richieste, come il recupero di informazioni da Amazon Simple Storage Service (Amazon S3) e il caricamento dei log su S3.
**Crea il ruolo di servizio e il ruolo del profilo dell'istanza EC2**
Se il tuo AWS account non dispone di un profilo di istanza EC2 o di un ruolo di servizio, devi crearne uno per ciascuno utilizzando il servizio IAM. Puoi quindi assegnare il profilo e il ruolo di servizio dell'istanza EC2 ai nuovi ambienti che crei. La procedura guidata di **creazione dell'ambiente** ti guida al servizio IAM, in modo che tu possa creare questi ruoli con le autorizzazioni richieste.
## Politiche e ruoli opzionali per gestire l'ambiente Elastic Beanstalk
Facoltativamente, puoi creare [policy utente](concepts-roles-user.md) e applicarle agli utenti e ai gruppi IAM del tuo account. In questo modo gli utenti possono creare e gestire applicazioni e ambienti Elastic Beanstalk. Puoi anche assegnare policy gestite da [Elastic Beanstalk](AWSHowTo.iam.managed-policies.md) per l'accesso completo e in sola lettura a utenti o gruppi. Per ulteriori informazioni su questo tipo di policy, consulta [Gestione delle policy utente Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).
Puoi creare i tuoi profili di istanza e le policy utente per scenari avanzati. Se le tue istanze devono accedere ai servizi che non sono inclusi nelle policy di default, puoi creare una nuova policy o aggiungerne di altre a quella di default. Inoltre, puoi creare policy utente più restrittive se la policy gestita è troppo permissiva. []()
# Ruolo di servizio Elastic Beanstalk
Un ruolo di servizio è il ruolo IAM che la console Elastic Beanstalk assume quando chiama altri servizi per conto dell'utente. Ad esempio, Elastic Beanstalk utilizza un ruolo di servizio quando chiama Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing e Amazon EC2 Auto Scaling per raccogliere informazioni. APIs Il ruolo di servizio utilizzato da Elastic Beanstalk è quello specificato quando viene creato l'ambiente Elastic Beanstalk.
Sono presenti due policy gestite collegate al ruolo di servizio: Queste policy forniscono le autorizzazioni che consentono a Elastic Beanstalk di accedere alle risorse necessarie per creare e gestire AWS i tuoi ambienti. Una policy gestita fornisce le autorizzazioni per il [monitoraggio avanzato dell'integrità](health-enhanced.md) e il supporto Amazon SQS del livello worker, mentre l'altra fornisce le autorizzazioni aggiuntive necessarie per gli [aggiornamenti gestiti della piattaforma](environment-platform-update-managed.md).
## `AWSElasticBeanstalkEnhancedHealth`
Questa policy concede le autorizzazioni a Elastic Beanstalk per monitorare l'integrità dell'istanza e dell'ambiente. Inoltre include anche operazioni Amazon SQS per consentire a Elastic Beanstalk di monitorare le attività di coda per gli ambienti worker. *Per visualizzare il contenuto di questa policy gestita, consulta la [ AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)pagina della Managed Policy Reference AWS Guide.*
## `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
Questa policy concede le autorizzazioni a Elastic Beanstalk per aggiornare gli ambienti per tuo conto ed eseguire gli aggiornamenti gestiti della piattaforma. Per visualizzare il contenuto di questa policy gestita, consulta la [AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)pagina della *AWS Managed Policy Reference Guide*.
**Raggruppamenti di autorizzazioni a livello di servizio**
Questa policy è raggruppata in istruzioni in base al set di autorizzazioni fornite.
+ *`ElasticBeanstalkPermissions`*— Questo gruppo di autorizzazioni serve a richiamare le azioni del servizio Elastic Beanstalk (Elastic Beanstalk). APIs
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`*: questo gruppo di autorizzazioni consente di passare qualsiasi ruolo a Elastic Beanstalk e ad altri servizi downstream come CloudFormation.
+ *`ReadOnlyPermissions`*: questo gruppo di autorizzazioni serve a raccogliere informazioni sull'ambiente in esecuzione.
+ *`*OperationPermissions`*: i gruppi con questo modello di denominazione servono a chiamare le operazioni necessarie per eseguire gli aggiornamenti della piattaforma.
+ *`*BroadOperationPermissions`*: i gruppi con questo modello di denominazione servono a chiamare le operazioni necessarie per eseguire gli aggiornamenti della piattaforma. Includono inoltre autorizzazioni estese per il supporto degli ambienti legacy.
+ *`*TagResource`*— I gruppi con questo modello di denominazione sono destinati alle chiamate che utilizzano per tag-on-create APIs allegare tag alle risorse che vengono create in un ambiente Elastic Beanstalk.
Puoi creare un ambiente Elastic Beanstalk con uno dei seguenti approcci. Ogni sezione descrive come l'approccio gestisce il ruolo di servizio.
**Console Elastic Beanstalk**
Se crei un ambiente utilizzando la console Elastic Beanstalk, Elastic Beanstalk ti chiederà di creare un ruolo di servizio denominato `aws-elasticbeanstalk-service-role`. Quando creato tramite Elastic Beanstalk, questo ruolo include una policy di attendibilità che consenta a Elastic Beanstalk di assumere il ruolo di servizio. Al ruolo sono allegate anche le due policy gestite descritte in precedenza in questo argomento.
**Interfaccia a riga di comando di Elastic Beanstalk (CLI EB)**
È possibile creare un ambiente utilizzando il comando [**eb create**](eb3-create.md) dell'Interfaccia della linea di comando Elastic Beanstalk (EB CLI). Se non si specifica un ruolo di servizio attraverso l'opzione `--service-role`. Elastic Beanstalk crea lo stesso ruolo di servizio predefinito `aws-elasticbeanstalk-service-role`. Se il ruolo di servizio predefinito esiste già, Elastic Beanstalk lo utilizza per il nuovo ambiente. Quando creato tramite Elastic Beanstalk, questo ruolo include una policy di attendibilità che consenta a Elastic Beanstalk di assumere il ruolo di servizio. Al ruolo sono allegate anche le due policy gestite descritte in precedenza in questo argomento.
**API di Elastic Beanstalk**
È possibile creare un ambiente utilizzando l'operazione `CreateEnvironment` dell'API Elastic Beanstalk. Se non si specifica un ruolo di servizio, Elastic Beanstalk crea un ruolo collegato al servizio di monitoraggio. Si tratta di un tipo unico di ruolo di servizio predefinito da Elastic Beanstalk per includere tutte le autorizzazioni richieste dal servizio per chiamare altri utenti per conto dell'utente. Servizi AWS Il ruolo collegato al servizio è associato al tuo account. Elastic Beanstalk lo crea una volta, quindi lo riutilizza quando crea altri ambienti. Puoi utilizzare IAM anche per creare in anticipo il ruolo collegato ai servizi di monitoraggio del tuo account. Quando l'account dispone di un ruolo collegato al servizio di monitoraggio, è possibile utilizzarlo per creare un ambiente tramite la console Elastic Beanstalk, l'API Elastic Beanstalk o la EB CLI. Per le istruzioni su come utilizzare i ruoli collegati ai servizi con ambienti Elastic Beanstalk, consulta[Utilizzo dei ruoli collegati ai servizi per Elastic Beanstalk](using-service-linked-roles.md).
Per ulteriori informazioni sui ruoli di servizio, consulta [Gestione dei ruoli del servizio Elastic Beanstalk](iam-servicerole.md).
# Profilo dell'istanza Elastic Beanstalk
Un profilo dell'istanza è un ruolo IAM che viene applicato alle istanze Amazon EC2 avviate nell'ambiente Elastic Beanstalk. Quando si crea un ambiente Elastic Beanstalk, specifica il profilo dell'istanza utilizzato quando le istanze EC2 completano le seguenti operazioni:
+ Recupero delle [versioni delle applicazioni](concepts.md#concepts-version) da Amazon Simple Storage Service (Amazon S3)
+ Scrittura di log su Amazon S3
+ Negli [ ambienti integrati AWS X-Ray](environment-configuration-debugging.md), carica i dati di debug su X-Ray
+ Negli ambienti Docker gestiti da Amazon ECS, coordina le implementazioni dei container con Amazon Elastic Container Service (Amazon ECS)
+ Negli ambienti worker (operatore), lettura da una coda Amazon Simple Queue Service (Amazon SQS)
+ Negli ambienti worker (operatore), esecuzione dell'elezione del leader con Amazon DynamoDB
+ Negli ambienti di lavoro, pubblica i parametri relativi allo stato delle istanze su Amazon CloudWatch
## Policy gestite
Elastic Beanstalk fornisce una serie di policy gestite che consentono alle istanze EC2 presenti nell'ambiente di eseguire le operazioni richieste. Di seguito sono elencate le policy gestite richieste per i casi d'uso più comuni.
+ `AWSElasticBeanstalkWebTier`
+ `AWSElasticBeanstalkWorkerTier`
+ `AWSElasticBeanstalkMulticontainerDocker`
Se la tua applicazione web richiede l'accesso ad altri servizi aggiuntivi Servizi AWS, aggiungi istruzioni o politiche gestite al profilo dell'istanza che consentono l'accesso a tali servizi. Per ulteriori informazioni, consulta [Aggiunta delle autorizzazioni al profilo dell'istanza predefinito](iam-instanceprofile.md#iam-instanceprofile-addperms).
## Creazione di un profilo di istanza EC2
Se il tuo AWS account non dispone di un profilo di istanza EC2, devi crearne uno utilizzando il servizio IAM. Potrai quindi assegnare il profilo dell'istanza EC2 ai nuovi ambienti che vengono creati. I passaggi di **creazione dell'ambiente** nella console Elastic Beanstalk forniscono l'accesso alla console IAM, in modo da poter creare un profilo di istanza EC2 con le autorizzazioni richieste.
Puoi anche creare un profilo di istanza EC2 accedendo direttamente alla console IAM, senza passare dalla console Elastic Beanstalk. Per i passaggi dettagliati per creare un profilo di istanza Elastic Beanstalk EC2 nella console IAM, consulta. [Creazione di un profilo dell'istanza](iam-instanceprofile.md#iam-instanceprofile-create)
# Policy utente Elastic Beanstalk
Crea utenti IAM per ogni utente che utilizza Elastic Beanstalk per evitare di utilizzare il tuo account root o di condividere le credenziali. Come best practice di sicurezza, concedi a questi utenti solo le autorizzazioni per accedere ai servizi e alle funzionalità di cui hanno bisogno.
Elastic Beanstalk richiede le autorizzazioni non solo per le proprie operazioni API, ma anche per molti altri servizi AWS . Elastic Beanstalk utilizza le autorizzazioni utente per avviare le risorse in un ambiente. Queste risorse includono le istanze EC2, un load balancer Elastic Load Balancing e un gruppo Auto Scaling. Elastic Beanstalk utilizza anche le autorizzazioni degli utenti per salvare log e modelli su Amazon Simple Storage Service (Amazon S3), inviare notifiche ad Amazon SNS, assegnare profili di istanza e pubblicare metriche a. CloudWatch Elastic CloudFormation Beanstalk richiede le autorizzazioni per orchestrare le distribuzioni e gli aggiornamenti delle risorse. Richiede inoltre le autorizzazioni Amazon RDS per creare database, se necessari, e le autorizzazioni Amazon SQS per creare le code per gli ambienti worker (operatore).
Per ulteriori informazioni sulle policy utente, consulta [Gestione delle policy utente Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).