Utilisation des politiques relatives aux terminaux pour contrôler l'accès aux VPC terminaux - AWS Elastic Beanstalk
autorisations relatives aux compartiments S3 et VPC

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des politiques relatives aux terminaux pour contrôler l'accès aux VPC terminaux

Cette rubrique explique comment vous pouvez associer une politique aux VPC points de terminaison afin de contrôler l'accès à votre application (votre service) et à votre environnement Elastic Beanstalk.

Une politique de point de terminaison est une AWS Identity and Access Management (IAM) politique de ressources qui contrôle l'accès du point de terminaison au service spécifié. La stratégie de point de terminaison est spécifique au point de terminaison. Elle est distincte de toutes les IAM politiques d'utilisateur ou d'instance que votre environnement pourrait avoir et ne les remplace ni ne les remplace.

Par défaut, un VPC point de terminaison autorise un accès complet au service auquel il est associé. Lorsque vous créez ou modifiez un point de terminaison, vous pouvez y associer une politique de point de terminaison pour contrôler l'accès à des ressources spécifiques associées au service. Pour plus de détails sur la création et l'utilisation des politiques relatives aux VPC terminaux, consultez la section Contrôler l'accès aux VPC points de terminaison à l'aide des politiques relatives aux terminaux dans le AWS PrivateLink Guidez.

Note

Lorsque vous créez des politiques de point de terminaison restrictives, vous devrez peut-être ajouter des autorisations spécifiques aux ressources requises, afin que l'accès à ces ressources ne soit pas bloqué par la politique de point de terminaison. Cela garantit que votre environnement continue de se déployer et de fonctionner correctement.

L'exemple suivant refuse à tous les utilisateurs l'autorisation de mettre fin à un environnement via le VPC point de terminaison et autorise un accès complet à toutes les autres actions.

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*"
        },
        {
            "Action": "elasticbeanstalk:TerminateEnvironment",
            "Effect": "Deny",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

Autorisations de compartiment Amazon S3 requises pour les politiques restrictives relatives aux VPC terminaux

Si vous ajoutez des restrictions à vos politiques relatives aux VPC terminaux, vous devez inclure des autorisations de compartiment Amazon S3 spécifiques pour garantir que votre environnement continue de se déployer et de fonctionner correctement. Cette section explique les compartiments S3 requis et inclut des exemples de politiques.

Des compartiments S3 qui stockent des actifs pour gérer les plateformes d'environnement

Le service Elastic Beanstalk possède des compartiments S3 qui stockent les actifs associés à une pile de solutions (version de plateforme). Ces actifs incluent les fichiers de configuration, l'exemple d'application et les types d'instances disponibles. Lorsqu'Elastic Beanstalk crée et gère votre environnement, il extrait les informations requises pour la version de plate-forme spécifique dans le compartiment d'actifs pour chaque version correspondante. Région AWS.

Seau S3 ARN

arn:aws:s3:::elasticbeanstalk-samples-region

Amazon Linux  2 et versions ultérieures

  • arn:aws:s3:::elasticbeanstalk-platform-assets-region

    Note

    Le nom du bucket suit une convention différente pour la BJSrégion. La chaîne public-beta-cn-north-1 est utilisée à la place de region. Par exemple,arn:aws:s3:::elasticbeanstalk-platform-assets-public-beta-cn-north-1.

Windows Server, Amazon Linux (AMI), Amazon Linux 2 et versions ultérieures

  • arn:aws:s3:::elasticbeanstalk-env-resources-region

  • arn:aws:s3:::elasticbeanstalk-region

Opérations

GetObject

VPCexemple de politique relative aux terminaux

L'exemple suivant montre comment fournir l'accès aux compartiments S3 requis pour les opérations d'Elastic Beanstalk dans la région USA Est (Ohio) (us-east-2). L'exemple répertorie tous les buckets pour les plateformes Amazon Linux et Windows Server. Mettez à jour votre politique pour inclure uniquement les buckets qui s'appliquent au système d'exploitation de votre environnement.

Important

Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::cloudformation-waitcondition-us-east-2/* et n'utilisez pas arn:aws:s3:::cloudformation-waitcondition-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser la politique pour plusieurs régions, nous vous recommandons de répéter le premier Statement bloc pour chaque région.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsToAWSResources",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": ["s3:GetObject"],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-platform-assets-us-east-2/*",
                "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*",
                "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*",
                "arn:aws:s3:::elasticbeanstalk-samples-us-east-2/*"
            ]
         }
    ]
}

Buckets S3 appartenant à AWS CloudFormation

Elastic Beanstalk utilise AWS CloudFormation pour créer des ressources pour votre environnement. CloudFormation possède des compartiments S3 dans chacun Région AWS pour surveiller les réponses aux conditions d'attente.

Des services tels qu'Elastic Beanstalk CloudFormation communiquent avec eux en envoyant des demandes à un URL Amazon S3 présigné pour le compartiment S3 qui en est le propriétaire. CloudFormation CloudFormation crée l'Amazon S3 présigné à URL l'aide du principal cloudformation.amazonaws.com de service.

Pour des informations plus détaillées, consultez la section Considérations relatives aux CloudFormation VPC points de terminaison dans le AWS CloudFormation Guide de l'utilisateur. Pour en savoir plus sur le présignéURLs, consultez la section Travailler avec le présigné URLs dans le guide de l'utilisateur Amazon S3.

Seau S3 ARN

  • arn:aws:s3:::cloudformation-waitcondition-region

    Lors de l'utilisation de conditions d'attente, les noms de région contiennent des tirets. Par exemple, us-west-2.

  • arn:aws:s3:::cloudformation-custom-resource-response-region

    Lors de l'utilisation de ressources personnalisées, les noms de région ne contiennent pas de tirets. Par exemple, uswest2.

Opérations

GetObject

VPCexemple de politique relative aux terminaux

L'exemple suivant montre comment fournir l'accès aux compartiments S3 requis pour les opérations d'Elastic Beanstalk dans la région USA Est (Ohio) (us-east-2).

Important

Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::cloudformation-waitcondition-us-east-2/* et n'utilisez pas arn:aws:s3:::cloudformation-waitcondition-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser la politique pour plusieurs régions, nous vous recommandons de répéter le premier Statement bloc pour chaque région.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsToCloudFormation",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": ["s3:GetObject"],
            "Resource": [
                "arn:aws:s3:::cloudformation-waitcondition-us-east-2/*",
                "arn:aws:s3:::cloudformation-custom-resource-response-us-east-2/*"
            ]
         }
    ]
}

Compartiments S3 détenus par les comptes clients pour stocker le code source et d'autres éléments

Ce bucket appartient au AWS compte client propriétaire de l'environnement. Il stocke les ressources spécifiques à votre environnement, telles que le code source et les journaux demandés.

Seau S3 ARN

arn:aws:s3:::elasticbeanstalk-region-account-id

Opérations

  • GetObject

  • GetObjectAcl

  • PutObject

  • PutObjectAcl

  • ListBucket

VPCexemple de politique relative aux terminaux

L'exemple suivant montre comment fournir l'accès aux compartiments S3 requis pour les opérations d'Elastic Beanstalk dans la région USA Est (Ohio) (us-east-2) et pour l'exemple AWS ID de compte 123456789012.

Important

Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::cloudformation-waitcondition-us-east-2/* et n'utilisez pas arn:aws:s3:::cloudformation-waitcondition-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser la politique pour plusieurs régions, nous vous recommandons de répéter le premier Statement bloc pour chaque région.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsToCustomerItems",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": ["GetObject",
                       "GetObjectAcl",
                       "PutObject",
                       "PutObjectAcl",
                       "ListBucket"
                       ],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/*"
            ]
         }
    ]
}

Des compartiments S3 appartenant à des comptes clients pour prendre en charge l'authentification du registre Docker

Ce bucket s'applique uniquement aux environnements basés sur la plateforme Docker. Le compartiment stocke un fichier utilisé pour s'authentifier auprès d'un registre Docker privé qui réside sur un compartiment S3 provisionné par le client. Pour plus d'informations, consultez la section Utilisation du fichier Dockerrun.aws.json v3 dans le chapitre de ce guide consacré à la plateforme Docker.

Seau S3 ARN

Cela ARN varie en fonction du compte client.

Le compartiment S3 ARN a le format suivant : arn:aws:s3:::bucket-name

Opérations

GetObject

VPCexemple de politique relative aux terminaux

L'exemple suivant montre comment fournir l'accès à un compartiment S3 nommé amzn-s3-demo-bucket1.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsToDockerRegistryAuth",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": ["GetObject"],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
         }
    ]
}

Mettre à jour votre politique relative aux VPC terminaux

Étant donné qu'un VPC point de terminaison n'est associé qu'à une seule politique, vous devez combiner toutes les autorisations dans une seule stratégie. L'exemple suivant regroupe tous les exemples précédents en un seul.

Pour plus de détails sur la création et l'utilisation des politiques relatives aux VPC terminaux, consultez la section Contrôler l'accès aux VPC points de terminaison à l'aide des politiques relatives aux terminaux dans le AWS PrivateLink Guidez.

Comme dans les exemples précédents, l'exemple suivant montre comment fournir l'accès aux compartiments S3 nécessaires aux opérations d'Elastic Beanstalk dans la région USA Est (Ohio) (us-east-2). Il comprend également des seaux avec exemple AWS ID de compte 123456789012 et exemple de nom de bucket amzn-s3-demo-bucket1.

Important

Dans cette politique, nous vous recommandons d'éviter d'utiliser des caractères génériques (*) à la place des régions spécifiques. Par exemple, utilisez arn:aws:s3:::cloudformation-waitcondition-us-east-2/* et n'utilisez pas arn:aws:s3:::cloudformation-waitcondition-*/*. L'utilisation de caractères génériques pourrait fournir l'accès aux compartiments S3 vers lesquels vous ne prévoyez pas d'accorder l'accès. Si vous souhaitez utiliser la politique pour plusieurs régions, nous vous recommandons de répéter le premier Statement bloc pour chaque région.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsToAWSResources",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": ["s3:GetObject"],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-platform-assets-us-east-2/*",
                "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*",
                "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*",
                "arn:aws:s3:::elasticbeanstalk-samples-us-east-2/*"
            ]
         },
        {
            "Sid": "AllowRequestsToCloudFormation",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": ["s3:GetObject"],
            "Resource": [
                "arn:aws:s3:::cloudformation-waitcondition-us-east-2/*",
                "arn:aws:s3:::cloudformation-custom-resource-response-us-east-2/*"
            ]
         },
         {
            "Sid": "AllowRequestsToCustomerItems",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": ["GetObject",
                       "GetObjectAcl",
                       "PutObject",
                       "PutObjectAcl",
                       "ListBucket"
                       ],
            "Resource": [
                "arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/*"
            ]
         },
        {
            "Sid": "AllowRequestsToDockerRegistryAuth",
            "Effect": "Allow",
            "Principal": {"AWS": "*"},
            "Action": ["GetObject"],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1""
            ]
         }
    ]
}