Ruoli dei servizi, profili delle istanze e policy utente

Quando crei un ambiente, AWS Elastic Beanstalk richiede di fornire i seguenti ruoli AWS Identity and Access Management (IAM):

Ruolo di servizio: Elastic Beanstalk assume un ruolo di servizio per utilizzare altri Servizi AWS per tuo conto.
Profilo dell'istanza: Elastic Beanstalk applica il profilo delle istanze alle istanze dell'ambiente. Ti permette di eseguire le attività seguenti:
- Richiama le versioni delle applicazioni da Amazon Simple Storage Service (Amazon S3)
- Carica i registri in Simple Storage Service (Amazon S3).
- Esegui altre attività che variano a seconda del tipo di ambiente e della piattaforma.

Ruolo del servizio

Quando crei un ambiente nella console Elastic Beanstalk o utilizzi la CLI EB di Elastic Beanstalk, vengono creati i ruoli di servizio richiesti e sono assegnate loro le policy gestite. Queste policy includono tutte le autorizzazioni necessarie. Ora, supponiamo che il ruolo di servizio esista già nel tuo account e quindi crei un nuovo ambiente nella console Elastic Beanstalk o tramite la CLI di Elastic Beanstalk. In questo caso, il ruolo di servizio esistente viene automaticamente assegnato al nuovo ambiente.

Profilo dell'istanza

Se il tuo account AWS non dispone di un profilo dell'istanza EC2, dovrai crearne uno utilizzando il servizio IAM. Potrai quindi assegnare il profilo dell'istanza EC2 ai nuovi ambienti che vengono creati. La procedura guidata Creazione dell'ambiente fornisce informazioni per guidare l'utente all'interno del servizio IAM, in modo da poter creare un profilo dell'istanza EC2 con le autorizzazioni richieste. Dopo aver creato il profilo dell'istanza, potrai tornare alla console per selezionarlo come profilo dell'istanza EC2 e procedere con i passaggi per creare il tuo ambiente.

Nota

In precedenza Elastic Beanstalk creava un profilo dell'istanza EC2 predefinito denominato aws-elasticbeanstalk-ec2-role la prima volta che un account AWS creava un ambiente. Questo profilo dell'istanza includeva le policy gestite predefinite. Se il tuo account dispone già di questo profilo dell'istanza, rimarrà disponibile per poter essere assegnata ai tuoi ambienti.

Tuttavia, le recenti linee guida AWS sulla sicurezza non consentono a un servizio AWSdi creare automaticamente ruoli con policy di attendibilità per altri servizi AWS, in questo caso EC2. A causa di queste linee guida sulla sicurezza, Elastic Beanstalk non crea più un profilo dell'istanza aws-elasticbeanstalk-ec2-role predefinito.

Policy utente

Oltre ai ruoli che assegni al tuo ambiente, puoi anche creare policy utente e applicarle a utenti e gruppi IAM nel tuo account. L'applicazione di policy utente consente agli utenti di creare e gestire applicazioni e ambienti Elastic Beanstalk. Elastic Beanstalk fornisce policy gestite per l'accesso completo e l'accesso in sola lettura. Per ulteriori informazioni su questo tipo di policy, consulta Gestione delle policy utente Elastic Beanstalk.

Policy utente e profili dell'istanza aggiuntivi

Puoi creare i tuoi profili di istanza e le policy utente per scenari avanzati. Se le tue istanze devono accedere ai servizi che non sono inclusi nelle policy di default, puoi creare una nuova policy o aggiungerne di altre a quella di default. Inoltre, puoi creare policy utente più restrittive se la policy gestita è troppo permissiva. Per ulteriori informazioni sulle autorizzazioni AWS, consulta la Guida per l'utente di IAM.

Argomenti

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Considerazioni di natura progettuale

Ruolo del servizio