Gestion des profils d'instance Elastic Beanstalk - AWS Elastic Beanstalk
Création d'un profil d'instanceVérification des autorisations attribuées à votre profil d'instanceMettre à jour un profil d'instance par out-of-date défautAjout d'autorisations au profil d'instance par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des profils d'instance Elastic Beanstalk

Un profil d'instance est un conteneur pour un rôle AWS Identity and Access Management (IAM) que vous pouvez utiliser pour transmettre des informations de rôle à une EC2 instance Amazon lorsque celle-ci démarre.

Si votre AWS compte ne possède pas de profil d' EC2 instance, vous devez en créer un à l'aide du service IAM. Vous pouvez ensuite attribuer le profil d' EC2 instance aux nouveaux environnements que vous créez. L'assistant de création d'un environnement fournit des informations pour vous guider dans le service IAM, afin que vous puissiez créer un profil d' EC2 instance avec les autorisations requises. Après avoir créé le profil d'instance, vous pouvez revenir à la console pour le sélectionner comme profil d' EC2 instance et poursuivre les étapes de création de votre environnement.

Note

Elastic Beanstalk avait précédemment créé EC2 un aws-elasticbeanstalk-ec2-role profil d'instance par défaut nommé la première AWS fois qu'un compte créait un environnement. Ce profil d'instance incluait des stratégies gérées par défaut. Si votre compte possède déjà ce profil d'instance, vous pourrez toujours l'attribuer à vos environnements.

Cependant, les directives AWS de sécurité récentes n'autorisent pas un AWS service à créer automatiquement des rôles avec des politiques de confiance vis-à-vis d'autres AWS services, EC2 dans ce cas. En raison de ces directives de sécurité, Elastic Beanstalk ne crée plus de profil d'instance aws-elasticbeanstalk-ec2-role par défaut.

Politiques gérées

Elastic Beanstalk fournit plusieurs stratégies gérées pour permettre à votre environnement de répondre à différents cas d'utilisation. Pour répondre aux cas d'utilisation par défaut d'un environnement, ces politiques doivent être associées au rôle du profil d' EC2 instance.

  • AWSElasticBeanstalkWebTier— Autorise l'application à télécharger des journaux sur Amazon S3 et des informations de débogage vers AWS X-Ray. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkWebTierau Guide de référence des politiques AWS gérées.

  • AWSElasticBeanstalkWorkerTier— Accorde des autorisations pour le téléchargement des journaux, le débogage, la publication des métriques et les tâches relatives aux instances de travail, y compris la gestion des files d'attente, l'élection du leader et les tâches périodiques. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkWorkerTierau Guide de référence des politiques AWS gérées.

  • AWSElasticBeanstalkMulticontainerDocker— Autorise Amazon Elastic Container Service à coordonner les tâches de cluster pour les environnements Docker. Pour consulter le contenu des politiques gérées, reportez-vous AWSElasticBeanstalkMulticontainerDockerau Guide de référence des politiques AWS gérées.

Important

Les stratégies gérées par Elastic Beanstalk ne fournissent pas d'autorisations granulaires : elles accordent toutes les autorisations potentiellement nécessaires à l'utilisation des applications Elastic Beanstalk. Dans certains cas, vous souhaiterez peut-être restreindre davantage les autorisations de nos politiques gérées. Pour un exemple d'un cas d'utilisation, voirEmpêcher l'accès aux compartiments Amazon S3 entre environnements.

Nos stratégies gérées ne couvrent pas non plus les autorisations relatives aux ressources personnalisées que vous pourriez ajouter à votre solution et qui ne sont pas gérées par Elastic Beanstalk. Pour implémenter des autorisations plus granulaires, des autorisations minimales requises ou des autorisations de ressources personnalisées, utilisez des stratégies personnalisées.

Politique de relation de confiance pour EC2

Pour permettre aux EC2 instances de votre environnement d'assumer le rôle requis, le profil d'instance doit spécifier Amazon EC2 comme entité de confiance dans la politique de relation de confiance, comme suit.

{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Pour personnaliser les autorisations, vous pouvez soit ajouter des stratégies au rôle attaché au profil d'instance par défaut, soit créer votre propre profil d'instance avec un ensemble limité d'autorisations.

Création d'un profil d'instance

Un profil d'instance est une enveloppe entourant un rôle IAM standard qui permet à une EC2 instance d'assumer ce rôle. Vous pouvez créer des profils d'instance supplémentaires afin de personnaliser les autorisations pour différentes applications. Ou vous pouvez créer un profil d'instance qui n'accorde pas d'autorisations pour le niveau de travail ou les environnements Docker gérés par ECS, si vous n'utilisez pas ces fonctionnalités.

Pour créer un profil d’instance

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Sélectionnez Créer un rôle.

  3. Sous Trusted entity type (Type d’entité approuvée), choisissez service AWS .

  4. Sous Use case (Cas d'utilisation), choisissez EC2.

  5. Choisissez Suivant.

  6. Associez les stratégies gérées adéquates fournies par Elastic Beanstalk et toutes les stratégies supplémentaires fournissant les autorisations dont votre application a besoin.

  7. Choisissez Suivant.

  8. Entrez un nom pour le rôle.

  9. (Facultatif) Ajoutez des balises au rôle.

  10. Sélectionnez Créer un rôle.

Vérification des autorisations attribuées à votre profil d'instance

Les autorisations allouées à votre profil d'instance par défaut peuvent varier en fonction de la date à laquelle il a été créé, de la date du dernier lancement d'un environnement et du client que vous avez utilisé. Vous pouvez vérifier les autorisations sur le profil d'instance par défaut dans la console IAM.

Pour vérifier les autorisations du profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué comme profil d' EC2 instance.

  3. Sur l'onglet Autorisations, vérifiez la liste de politiques attachée au rôle.

  4. Pour voir les autorisations octroyées par une stratégie, choisissez la stratégie.

Mettre à jour un profil d'instance par out-of-date défaut

Si le profil d'instance par défaut ne dispose pas des autorisations requises, vous pouvez ajouter manuellement les politiques gérées au rôle attribué en tant que profil d' EC2 instance.

Pour ajouter des stratégies gérées au rôle attaché au profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué comme profil d' EC2 instance.

  3. Sous l'onglet Permissions (Autorisations), choisissez Attach policies (Attacher des politiques).

  4. Saisissez AWSElasticBeanstalk pour filtrer les stratégies.

  5. Sélectionnez les politiques suivantes, puis choisissez Attacher une politique :

    • AWSElasticBeanstalkWebTier

    • AWSElasticBeanstalkWorkerTier

    • AWSElasticBeanstalkMulticontainerDocker

Ajout d'autorisations au profil d'instance par défaut

Si votre application accède à des ressources AWS APIs ou auxquelles les autorisations ne sont pas accordées dans le profil d'instance par défaut, ajoutez des politiques qui accordent des autorisations dans la console IAM.

Pour ajouter des stratégies au rôle attaché au profil d'instance par défaut

  1. Ouvrez la page Roles (Rôles) dans la console IAM.

  2. Choisissez le rôle attribué comme profil d' EC2 instance.

  3. Sous l'onglet Permissions (Autorisations), choisissez Attach policies (Attacher des politiques).

  4. Sélectionnez la politique gérée relative aux services supplémentaires utilisés par votre application. Par exemple, AmazonS3FullAccess ou AmazonDynamoDBFullAccess.

  5. Choisissez Attach policy (Attacher la politique).