本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 您的 AWS Elastic Beanstalk 環境安全
<a name="using-features.managing.security"></a>

Elastic Beanstalk 提供多種選項，以控制您環境的服務存取 (安全性) 和其中的 Amazon EC2 執行個體。此主題討論設定這些選項的組態。

**Topics**
+ [設定您的環境安全性](#using-features.managing.security.console)
+ [環境安全組態命名空間](#using-features.managing.security.namespaces)

## 設定您的環境安全性
<a name="using-features.managing.security.console"></a>

您可以在 Elastic Beanstalk 主控台中修改 Elastic Beanstalk 環境安全組態。

**在 Elastic Beanstalk 主控台中設定環境服務存取 (安全性)**

1. 開啟 [Elastic Beanstalk 主控台](https://console.aws.amazon.com/elasticbeanstalk)，然後在**區域**清單中選取您的 AWS 區域。

1. 在導覽窗格中，選擇**環境**，然後在清單中選擇您環境的名稱。

1. 在導覽窗格中，選擇**組態**。

1. 在 **Service access** (服務存取) 組態類別中，選擇 **Edit** (編輯)。

可用的設定如下所示。

**Topics**
+ [服務 角色](#using-features.managing.security.servicerole)
+ [EC2 key pair (EC2 金鑰對)](#using-features.managing.security.keypair)
+ [IAM 執行個體描述檔](#using-features.managing.security.profile)

![Elastic Beanstalk 安全服務存取組態頁面](http://docs.aws.amazon.com/zh_tw/elasticbeanstalk/latest/dg/images/configuration-configure-service-access.png)


### 服務 角色
<a name="using-features.managing.security.servicerole"></a>

選取[服務角色](iam-servicerole.md)，與您 Elastic Beanstalk 環境建立關聯性。Elastic Beanstalk 會在代表您存取其他 服務時擔任 AWS 服務角色。如需詳細資訊，請參閱[管理 Elastic Beanstalk 服務角色](iam-servicerole.md)。

### EC2 key pair (EC2 金鑰對)
<a name="using-features.managing.security.keypair"></a>

透過 Amazon EC2 金鑰對，您可安全登入為 Elastic Beanstalk 應用程式佈建的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。如需建立金鑰對的指示，請參閱《[Amazon EC2 使用者指南》中的使用 Amazon EC2 建立金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#having-ec2-create-your-key-pair)。 *Amazon EC2 * 

**注意**  
當您建立金鑰對，Amazon EC2 會存放公開金鑰副本。如果您不再需要使用它連接任何環境執行個體，您可以從 Amazon EC2 將其刪除。如需詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[刪除您的金鑰對](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-key-pairs.html#delete-key-pair)。

從下拉式選單選擇 **EC2 key pair (EC2 金鑰對)**，將其指派給您環境的執行個體。指派金鑰對時，公有金鑰會存放於執行個體，以驗證存放於本機的私有金鑰。私有金鑰永遠不會存放在其中 AWS。

如需連線至 Amazon EC2 執行個體的詳細資訊，請參閱《*Amazon EC2 使用者指南*》中的[連線至您的執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AccessingInstances.html)，以及[使用 PuTTY 從 Windows 連線至 Linux/UNIX 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/putty.html)。

### IAM 執行個體描述檔
<a name="using-features.managing.security.profile"></a>

EC2 [執行個體設定檔](concepts-roles-instance.md)是您 Elastic Beanstalk 環境啟動的執行個體所套用的 IAM 角色。Amazon EC2 執行個體會擔任執行個體描述檔角色，以簽署請求 AWS 並存取 APIs，例如將日誌上傳至 Amazon S3。

當您首次於 Elastic Beanstalk 主控台建立環境時，Elastic Beanstalk 會提示您建立具有預設之一組許可的執行個體描述檔。您可以將許可新增至此設定檔，讓您的執行個體存取其他 AWS 服務。如需詳細資訊，請參閱[管理 Elastic Beanstalk 執行個體描述檔](iam-instanceprofile.md)。

**注意**  
先前，Elastic Beanstalk 會在 AWS 帳戶`aws-elasticbeanstalk-ec2-role`第一次建立環境時建立名為 的預設 EC2 執行個體描述檔。此執行個體設定檔包含預設受管政策。如果您的帳戶已經擁有此執行個體設定檔，您仍然可以將其指派給您的環境。  
不過，最近的 AWS 安全準則不允許 AWS 服務自動建立對其他 AWS 服務 EC2 具有信任政策的角色。基於這些安全性準則，Elastic Beanstalk 不再建立預設 `aws-elasticbeanstalk-ec2-role` 執行個體設定檔。

**注意**  
EC2 執行個體安全的另一個層面是為 EC2 執行個體指定防火牆規則。這由 EC2 安全群組控制。如需詳細資訊，請參閱[您 Elastic Beanstalk 環境的 Amazon EC2 執行個體](using-features.managing.ec2.md)。

## 環境安全組態命名空間
<a name="using-features.managing.security.namespaces"></a>

以下命名空間中 Elastic Beanstalk 提供[組態選項](command-options.md)，讓您能夠自訂環境的安全性：
+ [`aws:elasticbeanstalk:environment`](command-options-general.md#command-options-general-elasticbeanstalkenvironment) – 使用 `ServiceRole` 選項設定環境的服務角色。
+ [`aws:autoscaling:launchconfiguration`](command-options-general.md#command-options-general-autoscalinglaunchconfiguration) – 使用 `EC2KeyName`、`DisableDefaultEC2SecurityGroup`、 和 `SecurityGroups`選項設定環境 Amazon EC2 `IamInstanceProfile`執行個體的許可。

EB CLI 和 Elastic Beanstalk 主控台會為前述選項套用建議的數值。若您想要使用組態檔進行相同的設定，您必須移除這些設定。如需詳細資訊，請參閱「[建議值](command-options.md#configuration-options-recommendedvalues)」。