Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispielrichtlinien basierend auf verwalteten Richtlinien
In diesem Abschnitt wird erläutert, wie Sie Benutzerzugriff auf AWS Elastic Beanstalk steuern, und es werden Beispielrichtlinien gezeigt, die den erforderlichen Zugriff für gängige Szenarien bereitstellen. Diese Richtlinien sind von den von Elastic Beanstalk verwalteten Richtlinien abgeleitet. Weitere Informationen zum Anfügen von verwalteten Richtlinien für Benutzer und Gruppen finden Sie unter Elastic Beanstalk-Benutzerrichtlinien verwalten.
In diesem Szenario ist Example Corp. ein Software-Unternehmen mit drei Teams, die für die Unternehmens-Website verantwortlich sind: Administratoren, die die Infrastruktur verwalten, Entwickler, die die Software für die Website erstellen, und ein QA-Team, das die Website testet. Damit die Berechtigungen für ihre Elastic Beanstalk-Ressourcen einfacher verwaltet werden können, erstellt Example Corp. drei Gruppen, zu denen Mitglieder der jeweiligen Teams gehören: Administratoren, Entwickler und Tester. Example Corp. möchte, dass die Admins-Gruppe vollständigen Zugriff auf alle Anwendungen, Umgebungen und ihre zugrundeliegenden Ressourcen hat, damit sie alle Elastic Beanstalk-Komponenten erstellen, beheben und löschen können. Entwickler benötigen Berechtigungen zur Anzeige aller Elastic Beanstalk-Komponenten und zum Erstellen und Bereitstellen von Anwendungsversionen. Entwickler sollten nicht in der Lage sein, neue Anwendungen oder Umgebungen zu erstellen oder laufende Umgebungen zu beenden. Tester müssen alle Elastic Beanstalk-Ressourcen anzeigen, um Anwendungen überwachen und testen zu können. Die Tester sollten nicht in der Lage sein, Änderungen an Elastic Beanstalk-Ressourcen vorzunehmen.
Die folgenden Beispielrichtlinien bieten die erforderlichen Berechtigungen für jede Gruppe.
Beispiel 1: Admins-Gruppe – Alle Elastic Beanstalk-APIs und APIs verwandter Services
Mit der folgenden Richtlinie erhalten Benutzer Berechtigungen für alle Aktionen, die zur Verwendung von Elastic Beanstalk erforderlich sind. Mit dieser Richtlinie kann Elastic Beanstalk auch Ressourcen in Ihrem Namen in den folgenden Services bereitstellen und verwalten. Elastic Beanstalk nutzt diese zusätzlichen Services zur Bereitstellung zugrunde liegender Ressourcen für die Umgebungserstellung.
-
Amazon Elastic Compute Cloud
-
Elastic Load Balancing
-
Auto Scaling
-
Amazon CloudWatch
-
Amazon Simple Storage Service
-
Amazon Simple Notification Service
-
Amazon Relational Database Service
-
AWS CloudFormation
Beachten Sie, dass diese Richtlinie als Beispiel dient. Sie bietet umfangreiche Berechtigungen für AWS-Services, die von Elastic Beanstalk zur Anwendungs- und Umgebungsverwaltung herangezogen werden. Beispielsweise kann ein AWS Identity and Access Management (IAM)-Benutzer mit ec2:* alle Aktionen für alle Amazon-EC2-Ressourcen des AWS-Kontos ausführen. Diese Berechtigungen sind nicht auf Ressourcen beschränkt, die mit Elastic Beanstalk verwendet werden. Als bewährte Methode sollten Sie Personen nur die Berechtigungen erteilen, die sie für ihre Aufgaben benötigen.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"elasticbeanstalk:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling:*",
"cloudwatch:*",
"s3:*",
"sns:*",
"rds:*",
"cloudformation:*"
],
"Resource" : "*"
}
]
}Beispiel 2: Entwicklergruppe – Alle Operationen außer solchen mit hoher Privilegierung
Mit der folgenden Richtlinie wird die Berechtigung zum Erstellen von Anwendungen und Umgebungen abgelehnt und alle anderen Elastic Beanstalk-Aktionen werden zugelassen.
Beachten Sie, dass diese Richtlinie als Beispiel dient. Sie bietet umfangreiche Berechtigungen für AWS-Produkte, die von Elastic Beanstalk zur Anwendungs- und Umgebungsverwaltung herangezogen werden. Beispielsweise kann ein IAM-Benutzer mit ec2:* alle Aktionen für alle Amazon-EC2-Ressourcen des AWS-Kontos ausführen. Diese Berechtigungen sind nicht auf Ressourcen beschränkt, die mit Elastic Beanstalk verwendet werden. Als bewährte Methode sollten Sie Personen nur die Berechtigungen erteilen, die sie für ihre Aufgaben benötigen.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Action" : [
"elasticbeanstalk:CreateApplication",
"elasticbeanstalk:CreateEnvironment",
"elasticbeanstalk:DeleteApplication",
"elasticbeanstalk:RebuildEnvironment",
"elasticbeanstalk:SwapEnvironmentCNAMEs",
"elasticbeanstalk:TerminateEnvironment"],
"Effect" : "Deny",
"Resource" : "*"
},
{
"Action" : [
"elasticbeanstalk:*",
"ec2:*",
"elasticloadbalancing:*",
"autoscaling:*",
"cloudwatch:*",
"s3:*",
"sns:*",
"rds:*",
"cloudformation:*"],
"Effect" : "Allow",
"Resource" : "*"
}
]
}Beispiel 3: Tester – Nur anzeigen
Mit der folgenden Richtlinie wird Lesezugriff für alle Anwendungen, Anwendungsversionen, Veranstaltungen und Umgebungen zugelassen. Das Ausführen von Aktionen wird nicht zugelassen.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effect" : "Allow",
"Action" : [
"elasticbeanstalk:Check*",
"elasticbeanstalk:Describe*",
"elasticbeanstalk:List*",
"elasticbeanstalk:RequestEnvironmentInfo",
"elasticbeanstalk:RetrieveEnvironmentInfo",
"ec2:Describe*",
"elasticloadbalancing:Describe*",
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:List*",
"cloudwatch:Get*",
"s3:Get*",
"s3:List*",
"sns:Get*",
"sns:List*",
"rds:Describe*",
"cloudformation:Describe*",
"cloudformation:Get*",
"cloudformation:List*",
"cloudformation:Validate*",
"cloudformation:Estimate*"
],
"Resource" : "*"
}
]
}
