Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestione dei profili dell'istanza Elastic Beanstalk
Un profilo di istanza è un contenitore per un ruolo AWS Identity and Access Management (IAM) che puoi utilizzare per passare informazioni sul ruolo a un' EC2 istanza Amazon all'avvio dell'istanza.
Se il tuo AWS account non dispone di un profilo di EC2 istanza, devi crearne uno utilizzando il servizio IAM. Puoi quindi assegnare il profilo dell' EC2 istanza ai nuovi ambienti che crei. I passaggi di creazione dell'ambiente nella console Elastic Beanstalk forniscono l'accesso alla console IAM, in modo da poter EC2 creare un profilo di istanza con le autorizzazioni richieste.
Nota
In precedenza Elastic Beanstalk creava un aws-elasticbeanstalk-ec2-role profilo di istanza predefinito denominato la prima AWS volta che EC2 un account creava un ambiente. Questo profilo dell'istanza includeva le policy gestite predefinite. Se il tuo account dispone già di questo profilo dell'istanza, rimarrà disponibile per poter essere assegnata ai tuoi ambienti.
Tuttavia, in questo caso, le recenti linee guida AWS sulla sicurezza non consentono a un AWS servizio di creare automaticamente ruoli con policy di fiducia per altri AWS servizi. EC2 A causa di queste linee guida sulla sicurezza, Elastic Beanstalk non crea più un profilo dell'istanza aws-elasticbeanstalk-ec2-role predefinito.
Policy gestite
Elastic Beanstalk fornisce diverse policy gestite per consentire all'ambiente di soddisfare diversi casi d'uso. Per soddisfare i casi d'uso predefiniti per un ambiente, queste policy devono essere associate al ruolo per il profilo dell' EC2 istanza.
-
AWSElasticBeanstalkWebTier— Concede all'applicazione le autorizzazioni per caricare i log su Amazon S3 e le informazioni di debug su. AWS X-RayPer visualizzare il contenuto della policy gestita, consulta la Managed Policy Reference Guide AWSElasticBeanstalkWebTier.AWS
-
AWSElasticBeanstalkWorkerTier— Concede le autorizzazioni per il caricamento dei log, il debug, la pubblicazione delle metriche e le attività relative alle istanze di lavoro, tra cui la gestione delle code, l'elezione dei leader e le attività periodiche. Per visualizzare il contenuto delle policy gestite, consulta la Managed Policy Reference Guide. AWSElasticBeanstalkWorkerTierAWS
-
AWSElasticBeanstalkMulticontainerDocker— Concede le autorizzazioni ad Amazon Elastic Container Service per coordinare le attività del cluster per gli ambienti Docker. Per visualizzare il contenuto delle policy gestite, consulta la AWS Managed Policy AWSElasticBeanstalkMulticontainerDockerReference Guide.
Importante
Le policy gestite da Elastic Beanstalk non forniscono autorizzazioni granulari, ma concedono tutte le autorizzazioni potenzialmente necessarie per lavorare con le applicazioni Elastic Beanstalk. In alcuni casi potresti voler limitare ulteriormente le autorizzazioni delle nostre politiche gestite. Per un esempio di un caso d'uso, vediImpedire l'accesso ai bucket Amazon S3 tra ambienti.
Inoltre, le nostre policy gestite non coprono le autorizzazioni per le risorse personalizzate che potresti aggiungere alla soluzione e che non sono gestite da Elastic Beanstalk. Per implementare autorizzazioni più granulari, autorizzazioni minime richieste o autorizzazioni a livello di risorsa personalizzate, utilizza le policy personalizzate.
Politica sulle relazioni fiduciarie per EC2
Per consentire alle EC2 istanze del tuo ambiente di assumere il ruolo richiesto, il profilo dell'istanza deve specificare Amazon EC2 come entità affidabile nella politica sulle relazioni di fiducia, come segue.
{
"Version": "2008-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}Per personalizzare le autorizzazioni, puoi aggiungere policy al ruolo collegato al profilo dell'istanza predefinito oppure creare un profilo dell'istanza personalizzato con un gruppo limitato di autorizzazioni.
Sections
Creazione di un profilo dell'istanza
Un profilo di istanza è un involucro di un ruolo IAM standard che consente a un' EC2 istanza di assumere il ruolo. Puoi creare un profilo di istanza con le policy gestite di Elastic Beanstalk predefinite. Puoi anche creare profili di istanza aggiuntivi per personalizzare le autorizzazioni per diverse applicazioni. Oppure puoi creare un profilo di istanza che non includa le due policy gestite che concedono le autorizzazioni per gli ambienti Docker gestiti da ECS o Worker, se non utilizzi queste funzionalità.
Per creare un profilo di istanza con le politiche gestite predefinite
-
Apri la pagina Roles (Ruoli)
nella console IAM. -
Scegliere Crea ruolo.
-
Per Tipo di entità attendibile, scegli Servizio AWS .
-
Per Service o use case, scegli Elastic Beanstalk.
-
Per il caso d'uso, scegli Elastic Beanstalk — Compute.
-
Scegli Next (Successivo).
-
Immettere un nome di ruolo in Role name (Nome ruolo).
Puoi inserire il nome del ruolo predefinito suggerito dalla console Elastic Beanstalk:.
aws-elasticbeanstalk-ec2-role -
Verifica che le politiche di autorizzazione includano quanto segue, quindi scegli Avanti:
AWSElasticBeanstalkWebTierAWSElasticBeanstalkWorkerTierAWSElasticBeanstalkMulticontainerDocker
Scegliere Crea ruolo.
Per creare un profilo di istanza con la tua scelta specifica di politiche gestite
-
Apri la pagina Roles (Ruoli)
nella console IAM. -
Scegliere Crea ruolo.
-
In Tipo di entità attendibile, scegli Servizio AWS .
-
In Use case (Caso d'uso), scegli EC2.
-
Scegli Next (Successivo).
-
Collega le policy gestite appropriate di Elastic Beanstalk e tutte le altre policy che forniscono le autorizzazioni necessarie per la tua applicazione.
-
Scegli Next (Successivo).
-
Inserisci un nome per il ruolo.
-
(Facoltativo) Aggiungi i tag al ruolo.
-
Scegliere Crea ruolo.
Aggiunta delle autorizzazioni al profilo dell'istanza predefinito
Se la tua applicazione accede a risorse AWS APIs o a cui non sono concesse le autorizzazioni nel profilo di istanza predefinito, aggiungi delle policy che concedono le autorizzazioni nella console IAM.
Per aggiungere policy al ruolo collegato al profilo dell'istanza predefinito
-
Aprire la pagina Roles (Ruoli)
nella console IAM. -
Scegli il ruolo assegnato come profilo dell'istanza. EC2
-
Nella scheda Autorizzazioni, scegli Collega policy.
-
Seleziona la policy gestita per i servizi aggiuntivi utilizzati dall'applicazione. Ad esempio
AmazonS3FullAccessoAmazonDynamoDBFullAccess. -
Scegli Collega policy.
Verifica delle autorizzazioni assegnate al profilo dell'istanza
Le autorizzazioni assegnate al profilo dell'istanza predefinito possono variare in base al momento in cui è stato creato, all'ultima volta in cui hai avviato un ambiente e al client che hai utilizzato. Puoi verificare le autorizzazioni per il profilo dell'istanza predefinito nella console IAM.
Per verificare le autorizzazioni del profilo dell'istanza predefinito
-
Apri la pagina Roles (Ruoli)
nella console IAM. -
Scegli il ruolo assegnato come profilo dell' EC2 istanza.
-
Nella scheda Permissions (Autorizzazioni), esamina l'elenco delle policy collegate al ruolo.
-
Per visualizzare le autorizzazioni concesse da una policy, scegli la policy.
Aggiornamento di un profilo di istanza out-of-date predefinito
Se il profilo di istanza predefinito non dispone delle autorizzazioni richieste, puoi aggiungere manualmente le politiche gestite al ruolo assegnato come profilo dell' EC2 istanza.
Per aggiungere policy gestite al ruolo collegato al profilo dell'istanza predefinito
-
Apri la pagina Roles (Ruoli)
nella console IAM. -
Scegli il ruolo assegnato come profilo dell' EC2 istanza.
-
Nella scheda Autorizzazioni, scegli Collega policy.
-
Digita
AWSElasticBeanstalkper filtrare le policy. -
Seleziona le policy seguenti e scegli Collega policy:
-
AWSElasticBeanstalkWebTier -
AWSElasticBeanstalkWorkerTier -
AWSElasticBeanstalkMulticontainerDocker
-
