As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciar perfis de instância do Elastic Beanstalk
<a name="iam-instanceprofile"></a>

Um perfil de instância é um contêiner para uma função AWS Identity and Access Management (IAM) que você pode usar para passar informações da função para uma instância do Amazon EC2 quando a instância é iniciada. 

Se sua AWS conta não tiver um perfil de instância do EC2, você deverá criar um usando o serviço IAM. Depois, você poderá atribuir o perfil de instância do EC2 aos novos ambientes que criar. As etapas de **Criação do ambiente** no console do Elastic Beanstalk fornecem acesso ao console do IAM, para que você possa criar um perfil de instância do EC2 com as permissões necessárias.

**nota**  
Anteriormente, o Elastic Beanstalk criava um `aws-elasticbeanstalk-ec2-role` perfil de instância EC2 padrão chamado na primeira vez AWS que uma conta criava um ambiente. Esse perfil de instância incluía as políticas gerenciadas padrão. Se sua conta já tiver esse perfil de instância, ele permanecerá disponível para você atribuí-lo aos seus ambientes.  
No entanto, as diretrizes de AWS segurança recentes não permitem que um AWS serviço crie automaticamente funções com políticas de confiança para outros AWS serviços, neste caso o EC2. Por causa dessas diretrizes de segurança, o Elastic Beanstalk não cria mais um perfil de instância padrão `aws-elasticbeanstalk-ec2-role`.



**Políticas gerenciadas**  
O Elastic Beanstalk fornece várias políticas gerenciadas para permitir que seu ambiente atenda a diferentes casos de uso. Para atender aos casos de uso padrão de um ambiente, essas políticas devem ser anexadas ao perfil de instância do EC2. 
+ **AWSElasticBeanstalkWebTier**— Concede permissões para que o aplicativo faça upload de registros para o Amazon S3 e informações de depuração para. AWS X-Ray Para ver o conteúdo da política gerenciada, consulte [AWSElasticBeanstalkWebTier](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkWebTier.html)o *Guia de referência de políticas AWS gerenciadas*. 
+ **AWSElasticBeanstalkWorkerTier**— Concede permissões para upload de registros, depuração, publicação de métricas e tarefas de instância de trabalho, incluindo gerenciamento de filas, eleição de líderes e tarefas periódicas. Para ver o conteúdo da política gerenciada, consulte [AWSElasticBeanstalkWorkerTier](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkWorkerTier.html)o *Guia de referência de políticas AWS gerenciadas*.
+ **AWSElasticBeanstalkMulticontainerDocker**— Concede permissões para o Amazon Elastic Container Service coordenar tarefas de cluster para ambientes Docker. Para ver o conteúdo da política gerenciada, consulte [AWSElasticBeanstalkMulticontainerDocker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkMulticontainerDocker.html)o *Guia de referência de políticas AWS gerenciadas*.



**Importante**  
As políticas gerenciadas do Elastic Beanstalk não fornecem permissões granulares, elas concedem todas as permissões que são potencialmente necessárias para trabalhar com aplicações Elastic Beanstalk. Em alguns casos, talvez você queira restringir ainda mais as permissões das nossas políticas gerenciadas. Para um exemplo de um caso de uso, consulte [Impedir o acesso ao bucket do Amazon S3 entre ambientes](AWSHowTo.iam.cross-env-s3-access.md).  
Nossas políticas gerenciadas também não abrangem permissões para recursos personalizados que você pode adicionar à sua solução e que não são gerenciados pelo Elastic Beanstalk. Para implementar permissões mais granulares, permissões mínimas necessárias ou permissões de recursos personalizadas, use [políticas personalizadas](AWSHowTo.iam.managed-policies.md#AWSHowTo.iam.policies).

**Política de relacionamento de confiança para o EC2**  
Para permitir que as instâncias do EC2 do ambiente assumam o perfil necessário, o perfil de instância especifica o Amazon EC2 como uma entidade confiável na política de relacionamento de confiança, como se segue.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

Para personalizar as permissões, você pode adicionar políticas à função anexada ao perfil da instância padrão ou criar seu próprio perfil de instância com um conjunto restrito de permissões.

Para usar o recurso [de análise de ambiente baseado em IA](health-ai-analysis.md), adicione as `elasticbeanstalk:DescribeEnvironmentHealth` permissões`bedrock:InvokeModel`, `bedrock:ListFoundationModels``elasticbeanstalk:DescribeEvents`, e ao seu perfil de instância. Essas permissões permitem que o Elastic Beanstalk use o Amazon Bedrock e acesse dados do ambiente para analisar registros, eventos e integridade da instância. Se for a primeira vez que um modelo Anthropic Claude está sendo usado em sua AWS conta, adicione também as `aws-marketplace:Subscribe` permissões`aws-marketplace:Unsubscribe`, e. `aws-marketplace:ViewSubscriptions` Essas permissões do AWS Marketplace permitem a assinatura automática de modelos que o Amazon Bedrock exige para acesso pela primeira vez a modelos de terceiros.

**Topics**
+ [Criar um perfil da instância](#iam-instanceprofile-create)
+ [Adicionar permissões ao perfil da instância padrão](#iam-instanceprofile-addperms)
+ [Verificar as permissões atribuídas ao perfil de instância](#iam-instanceprofile-verify)
+ [Atualização de um perfil de instância out-of-date padrão](#iam-instanceprofile-update)

## Criar um perfil da instância
<a name="iam-instanceprofile-create"></a>

Perfil da instância é um wrapper em torno de uma função padrão do IAM que permite a uma instância do EC2 assumir a função. Você pode criar um perfil de instância com as políticas gerenciadas padrão do Elastic Beanstalk. Você também pode criar perfis de instância adicionais para personalizar permissões para diferentes aplicações. Ou você pode criar um perfil de instância que não inclua as duas políticas gerenciadas que concedem permissões para o nível de trabalho ou ambientes Docker gerenciados pelo ECS, caso não utilize esses recursos.

**Para criar um perfil de instância com as políticas gerenciadas padrão**

1. Abra a página [https://console.aws.amazon.com/iam/home#roles](https://console.aws.amazon.com/iam/home#roles) (Funções) no console do IAM.

1. Selecione **Create role** (Criar função).

1. Em **Tipo de entidade confiável**, escolha **Serviços da AWS **.

1. Para **Serviço ou caso de uso**, escolha **Elastic Beanstalk**.

1. Para **Caso de uso**, escolha **Elastic Beanstalk — Computação**. 

1. Escolha **Próximo**.

1. Insira um nome em **Nome da função**.

   Você pode inserir o nome do perfil padrão sugerido pelo console do Elastic Beanstalk.: `aws-elasticbeanstalk-ec2-role`.

1. Verifique se as **Políticas de permissões** incluem o seguinte e escolha **Avançar**:
   + `AWSElasticBeanstalkWebTier`
   + `AWSElasticBeanstalkWorkerTier`
   + `AWSElasticBeanstalkMulticontainerDocker`

1. Selecione **Criar perfil**.

**Para criar um perfil de instância com sua escolha específica de políticas gerenciadas**

1. Abra a página [https://console.aws.amazon.com/iam/home#roles](https://console.aws.amazon.com/iam/home#roles) (Funções) no console do IAM.

1. Selecione **Create role** (Criar função).

1. Em **Tipo de entidade confiável**, selecione **Serviço da AWS **.

1. Em **Use case** (Caso de uso), selecione **EC2**.

1. Escolha **Próximo**.

1. Associe as políticas gerenciadas adequadas disponibilizadas pelo Elastic Beanstalk e quaisquer políticas adicionais que fornecem as permissões necessárias à sua aplicação.

1. Escolha **Próximo**.

1. Insira um nome para a função.

1. (Opcional) Adicione tags à função.

1. Selecione **Criar perfil**.

## Adicionar permissões ao perfil da instância padrão
<a name="iam-instanceprofile-addperms"></a>

Se seu aplicativo acessa recursos AWS APIs ou recursos aos quais as permissões não são concedidas no perfil de instância padrão, adicione políticas que concedam permissões no console do IAM.

**Para adicionar políticas à função anexadas ao perfil de instância padrão**

1. Abra a página [Roles (Funções)](https://console.aws.amazon.com/iam/home#roles) no console do IAM.

1. Escolha a função atribuída como seu perfil de instância do EC2.

1. Na guia **Permissions (Permissões)**, escolha **Attach policies (Anexar políticas)**.

1. Selecione a política gerenciada para os serviços adicionais que o seu aplicativo utiliza. Por exemplo, `AmazonS3FullAccess` ou `AmazonDynamoDBFullAccess`.

1. Escolha **Anexar política**.

## Verificar as permissões atribuídas ao perfil de instância
<a name="iam-instanceprofile-verify"></a>

As permissões atribuídas ao seu perfil da instância padrão pode variar de acordo com a data de criação, a última vez em que você iniciou um ambiente e qual cliente você usou. É possível verificar as permissões do perfil da instância padrão no console do IAM.

**Para verificar as permissões do perfil da instância padrão**

1. Abra a página [https://console.aws.amazon.com/iam/home#roles](https://console.aws.amazon.com/iam/home#roles) (Funções) no console do IAM.

1. Escolha a função atribuída como seu perfil de instância do EC2.

1. Na guia **Permissions**, (Permissões) revise a lista de políticas associadas à função.

1. Para ver as permissões que uma política concede, selecione a política.

## Atualização de um perfil de instância out-of-date padrão
<a name="iam-instanceprofile-update"></a>

Se o perfil de instância padrão não tiver as permissões necessárias, você poderá adicionar manualmente as políticas ao perfil atribuído como seu perfil de instância do EC2.

**Para adicionar políticas gerenciadas à função anexadas ao perfil de instância padrão**

1. Abra a página [https://console.aws.amazon.com/iam/home#roles](https://console.aws.amazon.com/iam/home#roles) (Funções) no console do IAM.

1. Escolha a função atribuída como seu perfil de instância do EC2.

1. Na guia **Permissions (Permissões)**, escolha **Attach policies (Anexar políticas)**.

1. Digite **AWSElasticBeanstalk** para filtrar as políticas.

1. Selecione as seguintes políticas e selecione **Attach policy (Associar política)**:
   + `AWSElasticBeanstalkWebTier`
   + `AWSElasticBeanstalkWorkerTier`
   + `AWSElasticBeanstalkMulticontainerDocker`