Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo delle policy degli endpoint per controllare l'accesso con VPC gli endpoint
Questo argomento spiega come collegare una policy agli VPC endpoint per controllare l'accesso all'applicazione (il servizio) e all'ambiente Elastic Beanstalk.
Una policy per gli endpoint è una AWS Identity and Access Management (IAM) politica delle risorse che controlla l'accesso dall'endpoint al servizio specificato. La policy endpoint è specifica per l'endpoint. È distinta da qualsiasi IAM politica dell'utente o dell'istanza che potrebbe avere l'ambiente in uso e non le sostituisce o le sostituisce.
Per impostazione predefinita, un VPC endpoint consente l'accesso completo al servizio a cui è associato. Quando si crea o si modifica un endpoint, è possibile allegare una policy sull'endpoint per controllare l'accesso a risorse specifiche associate al servizio. Per i dettagli sulla creazione e l'utilizzo delle policy degli VPC endpoint, consulta Controllare l'accesso agli VPC endpoint utilizzando le policy degli endpoint nel AWS PrivateLink Guida.
Nota
Quando si creano policy restrittive per gli endpoint, potrebbe essere necessario aggiungere autorizzazioni specifiche alle risorse richieste, in modo che l'accesso a tali risorse non sia bloccato dalla policy dell'endpoint. In questo modo si garantisce che l'ambiente continui a essere distribuito e a funzionare correttamente.
L'esempio seguente nega a tutti gli utenti l'autorizzazione a chiudere un ambiente tramite l'VPCendpoint e consente l'accesso completo a tutte le altre azioni.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticbeanstalk:TerminateEnvironment", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }
Autorizzazioni richieste per i bucket Amazon S3 per policy restrittive sugli endpoint VPC
Se aggiungi restrizioni alle policy VPC degli endpoint, devi includere autorizzazioni specifiche per i bucket Amazon S3 per garantire che l'ambiente continui a essere distribuito e funzionare correttamente. Questa sezione spiega i bucket S3 richiesti e include policy di esempio.
Argomenti
- Bucket S3 che archiviano le risorse per gestire le piattaforme ambientali
- S3 Buckets di proprietà di AWS CloudFormation
- Bucket S3 di proprietà degli account dei clienti per archiviare il codice sorgente e altri articoli
- Bucket S3 di proprietà degli account dei clienti per supportare l'autenticazione del registro Docker
- VPCAggiornamento della policy sugli endpoint
Bucket S3 che archiviano le risorse per gestire le piattaforme ambientali
Il servizio Elastic Beanstalk possiede bucket S3 che memorizzano le risorse associate a uno stack di soluzioni (versione della piattaforma). Queste risorse includono i file di configurazione, l'applicazione di esempio e i tipi di istanze disponibili. Quando Elastic Beanstalk crea e gestisce l'ambiente, recupera le informazioni richieste per la versione specifica della piattaforma dal bucket di risorse per ogni corrispondente. Regione AWS.
Bucket S3 ARN
arn:aws:s3:::elasticbeanstalk-samples-
region
Amazon Linux 2 e versioni successive
-
arn:aws:s3:::elasticbeanstalk-platform-assets-regionNota
Il nome del bucket segue una convenzione diversa per la regione. BJS La stringa public-beta-cn-north-1 viene utilizzata al posto di
region. Ad esempio,arn:aws:s3:::elasticbeanstalk-platform-assets-public-beta-cn-north-1.
Windows Server, Amazon Linux (AMI), Amazon Linux 2 e versioni successive
-
arn:aws:s3:::elasticbeanstalk-env-resources-region -
arn:aws:s3:::elasticbeanstalk-region
Operazioni
GetObject
VPCesempio di policy sugli endpoint
L'esempio seguente illustra come fornire l'accesso ai bucket S3 necessari per le operazioni di Elastic Beanstalk nella regione degli Stati Uniti orientali (Ohio) (us-east-2). L'esempio elenca tutti i bucket per entrambe le piattaforme Amazon Linux e Windows Server. Aggiorna la tua policy per includere solo i bucket che si applicano al sistema operativo del tuo ambiente.
Importante
Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::cloudformation-waitcondition-us-east-2/* anziché arn:aws:s3:::cloudformation-waitcondition-*/*. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se desideri utilizzare la politica per più di una regione, ti consigliamo di ripetere il primo Statement blocco per ogni regione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-samples-us-east-2/*" ] } ] }
S3 Buckets di proprietà di AWS CloudFormation
Usi di Elastic Beanstalk AWS CloudFormation per creare risorse per il tuo ambiente. CloudFormation possiede bucket S3 in ciascuno Regione AWS per monitorare le risposte alle condizioni di attesa.
Servizi come Elastic Beanstalk CloudFormation comunicano con loro inviando richieste a un Amazon S3 predefinito per il bucket S3 URL di cui è proprietario. CloudFormation CloudFormation crea l'Amazon URL S3 prefirmato utilizzando cloudformation.amazonaws.com il service principal.
Per informazioni più dettagliate, consulta Considerazioni per gli CloudFormation VPC endpoint nel AWS CloudFormation Guida per l'utente. Per ulteriori informazioni sulle impostazioni predefiniteURLs, consulta Working with presigned URLs nella Amazon S3 User Guide.
Bucket S3 ARN
-
arn:aws:s3:::cloudformation-waitcondition-regionQuando si utilizzano condizioni di attesa, i nomi delle Regioni contengono trattini. Ad esempio, us-west-2.
-
arn:aws:s3:::cloudformation-custom-resource-response-regionQuando si utilizzano risorse personalizzate, i nomi delle Regioni non contengono trattini. Ad esempio, uswest2.
Operazioni
GetObject
VPCesempio di politica degli endpoint
L'esempio seguente illustra come fornire l'accesso ai bucket S3 necessari per le operazioni di Elastic Beanstalk nella regione degli Stati Uniti orientali (Ohio) (us-east-2).
Importante
Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::cloudformation-waitcondition-us-east-2/* anziché arn:aws:s3:::cloudformation-waitcondition-*/*. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se desideri utilizzare la policy per più di una regione, ti consigliamo di ripetere il primo blocco per ogni regione. Statement
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-us-east-2/*", "arn:aws:s3:::cloudformation-custom-resource-response-us-east-2/*" ] } ] }
Bucket S3 di proprietà degli account dei clienti per archiviare il codice sorgente e altri articoli
Questo bucket è di proprietà di AWS account cliente proprietario dell'ambiente. Memorizza risorse specifiche dell'ambiente, come il codice sorgente e i registri richiesti.
Bucket S3 ARN
arn:aws:s3:::elasticbeanstalk-
region-account-id
Operazioni
-
GetObject
-
GetObjectAcl
-
PutObject
-
PutObjectAcl
-
ListBucket
VPCesempio di policy sugli endpoint
L'esempio seguente illustra come fornire l'accesso ai bucket S3 necessari per le operazioni Elastic Beanstalk nella regione degli Stati Uniti orientali (Ohio) (us-east-2) e per l'esempio AWS ID account 123456789012.
Importante
Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::cloudformation-waitcondition-us-east-2/* anziché arn:aws:s3:::cloudformation-waitcondition-*/*. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se desideri utilizzare la politica per più di una regione, ti consigliamo di ripetere il primo Statement blocco per ogni regione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject", "GetObjectAcl", "PutObject", "PutObjectAcl", "ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/*" ] } ] }
Bucket S3 di proprietà degli account dei clienti per supportare l'autenticazione del registro Docker
Questo bucket si applica solo agli ambienti basati sulla piattaforma Docker. Il bucket memorizza un file utilizzato per l'autenticazione in un registro Docker privato che risiede su un bucket S3 fornito dal cliente. Per ulteriori informazioni, consulta il capitolo Utilizzo del file Dockerrun.aws.json v3 nella piattaforma Docker di questa guida.
Bucket S3 ARN
ARNVaria in base all'account del cliente.
Il bucket S3 ARN ha il seguente formato: arn:aws:s3:::bucket-name
Operazioni
GetObject
VPCesempio di policy per gli endpoint
L'esempio seguente illustra come fornire l'accesso a un bucket S3 con il nome amzn-s3-demo-bucket1.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1" ] } ] }
VPCAggiornamento della policy sugli endpoint
Poiché a un VPC endpoint è associata una sola policy, è necessario combinare tutte le autorizzazioni in un'unica policy. L'esempio seguente fornisce tutti gli esempi precedenti combinati in uno solo.
Per informazioni dettagliate sulla creazione e l'utilizzo delle policy VPC degli endpoint, consulta Controllare l'accesso agli VPC endpoint utilizzando le policy degli endpoint nel AWS PrivateLink Guida.
Come negli esempi precedenti, quello seguente illustra come fornire l'accesso ai bucket S3 necessari per le operazioni di Elastic Beanstalk nella regione degli Stati Uniti orientali (Ohio) (us-east-2). Include anche bucket con esempi AWS ID account 123456789012 e nome del bucket di esempio amzn-s3-demo-bucket1.
Importante
Consigliamo di evitare l'uso di caratteri jolly (*) al posto delle Regioni specifiche in questa policy. Ad esempio, è preferibile usare arn:aws:s3:::cloudformation-waitcondition-us-east-2/* anziché arn:aws:s3:::cloudformation-waitcondition-*/*. L'utilizzo di caratteri jolly potrebbe fornire l'accesso ai bucket S3 a cui non si intende concedere l'accesso. Se desideri utilizzare la politica per più di una regione, ti consigliamo di ripetere il primo blocco per ogni regione. Statement
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-samples-us-east-2/*" ] }, { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-us-east-2/*", "arn:aws:s3:::cloudformation-custom-resource-response-us-east-2/*" ] }, { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject", "GetObjectAcl", "PutObject", "PutObjectAcl", "ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/*" ] }, { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1"" ] } ] }
