인스턴스 프로파일 생성 사용자 인스턴스 프로파일에 할당된 권한 확인 out-of-date 기본 인스턴스 프로필 업데이트 기본 인스턴스 프로파일에 권한 추가

Elastic Beanstalk 인스턴스 프로파일 관리

인스턴스 프로필은 인스턴스 시작 시 Amazon EC2 인스턴스에 역할 정보를 전달하는 데 사용할 수 있는 AWS Identity and Access Management (IAM) 역할의 컨테이너입니다.

AWS 계정에 EC2 인스턴스 프로필이 없는 경우 IAM 서비스를 사용하여 프로필을 만들어야 합니다. 그런 다음 생성한 새 환경에 EC2 인스턴스 프로파일을 할당할 수 있습니다. Create Environment 마법사는 필요한 권한이 있는 EC2 인스턴스 프로파일을 생성할 수 있도록 IAM 서비스를 안내하는 정보를 제공합니다. 인스턴스 프로파일을 생성한 후 콘솔로 돌아가 이를 EC2 인스턴스 프로파일로 선택하고 환경 생성 단계를 계속할 수 있습니다.

참고

이전에 Elastic Beanstalk는 계정이 환경을 처음 AWS 생성할 때 이름이 지정된 기본 EC2 인스턴스 aws-elasticbeanstalk-ec2-role 프로필을 생성했습니다. 이 인스턴스 프로파일에는 기본 관리형 정책이 포함되었습니다. 계정에 이미 이 인스턴스 프로파일이 있는 경우 사용자 환경에 계속 할당할 수 있습니다.

하지만 최신 AWS 보안 지침에서는 AWS 서비스가 다른 AWS 서비스 (이 경우 EC2) 에 대한 신뢰 정책을 사용하여 역할을 자동으로 생성하는 것을 허용하지 않습니다. 이러한 보안 지침 때문에 Elastic Beanstalk는 더 이상 기본 aws-elasticbeanstalk-ec2-role 인스턴스 프로파일을 생성하지 않습니다.

관리형 정책

Elastic Beanstalk는 사용자 환경이 다양한 사용 사례를 충족할 수 있도록 여러 관리형 정책을 제공합니다. 환경의 기본 사용 사례를 충족하려면 이러한 정책을 EC2 인스턴스 프로파일의 역할에 연결해야 합니다.

AWSElasticBeanstalkWebTier— 애플리케이션이 Amazon S3에 로그를 업로드하고 Amazon S3에 정보를 디버깅할 수 있는 AWS X-Ray권한을 부여합니다. 관리형 정책 콘텐츠를 보려면 AWS 관리형 정책 참조 안내서를 참조하십시오 AWSElasticBeanstalkWebTier.
AWSElasticBeanstalkWorkerTier— 대기열 관리, 리더 선택, 정기 작업을 비롯한 로그 업로드, 디버깅, 지표 게시 및 작업자 인스턴스 작업에 대한 권한을 부여합니다. 관리형 정책 콘텐츠를 보려면 관리형 정책 참조 AWSElasticBeanstalkWorkerTier안내서를AWS 참조하십시오.
AWSElasticBeanstalkMulticontainerDocker— Amazon Elastic 컨테이너 서비스에 Docker 환경의 클러스터 작업을 조정할 수 있는 권한을 부여합니다. 관리형 정책 콘텐츠를 보려면 AWS 관리형 정책 참조 안내서를 참조하십시오 AWSElasticBeanstalkMulticontainerDocker.

중요

Elastic Beanstalk 관리형 정책은 세부 권한을 부여하지 않으며, Elastic Beanstalk 애플리케이션 작업에 잠재적으로 필요할 수 있는 모든 권한을 부여합니다. 경우에 따라 관리형 정책의 권한을 추가로 제한해야 할 수도 있습니다. 한 가지 사용 사례의 예는 을 참조하십시오환경 간 Amazon S3 버킷 액세스 방지.

관리형 정책은 사용자가 솔루션에 추가하여 Elastic Beanstalk가 관리하지 않는 사용자 지정 리소스에 대한 권한도 다루지 않습니다. 사용 권한, 최소 필수 권한 또는 사용자 지정 리소스 권한을 세부적으로 설정하려면 사용자 지정 정책을 사용합니다.

EC2에 대한 신뢰 관계 정책

환경의 EC2 인스턴스에서 필수적인 역할을 수임하도록 허용하려면 다음과 같이 인스턴스 프로파일에서 Amazon EC2를 신뢰 관계 정책의 신뢰할 수 있는 엔터티로 지정해야 합니다.


{
  "Version": "2008-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

권한을 사용자 지정하려면 정책을 기본 인스턴스 프로파일에 연결된 역할에 추가하거나 제한된 권한 세트를 보유한 인스턴스 프로파일을 직접 생성합니다.

인스턴스 프로파일 생성

인스턴스 프로파일은 표준 IAM 역할을 둘러싼 래퍼로서 EC2 인스턴스에서 역할을 수임하도록 허용합니다. 추가 인스턴스 프로파일을 만들어 다양한 애플리케이션에 대한 권한을 사용자 지정할 수 있습니다. 또는 해당 기능을 사용하지 않는 경우 작업자 계층 또는 ECS 관리형 Docker 환경에 대한 권한을 부여하지 않는 인스턴스 프로파일을 만들 수 있습니다.

인스턴스 프로파일 생성

IAM 콘솔에서 역할(Roles) 페이지를 엽니다.
역할 생성을 선택합니다.
신뢰할 수 있는 엔터티 유형에서 AWS 서비스를 선택합니다.
사용 사례에서 EC2를 선택합니다.
다음을 선택합니다.
Elastic Beanstalk에서 제공되는 적절한 관리형 정책과 애플리케이션에 필요한 권한을 제공하는 추가 정책을 연결합니다.
다음을 선택합니다.
역할 이름을 입력합니다.
(선택 사항) 태그를 역할에 추가합니다.
역할 생성을 선택합니다.

사용자 인스턴스 프로파일에 할당된 권한 확인

기본 인스턴스 프로파일에 할당된 권한은 만들어진 시기, 환경을 마지막으로 시작한 시간, 사용한 클라이언트 등에 따라 다를 수 있습니다. IAM 콘솔에서 기본 인스턴스 프로파일의 권한을 확인할 수 있습니다.

기본 인스턴스 프로파일의 권한을 확인하려면

IAM 콘솔에서 역할(Roles) 페이지를 엽니다.
EC2 인스턴스 프로파일로 할당된 역할을 선택합니다.
권한 탭에서 역할에 연결된 정책 목록을 검토합니다.
정책이 부여하는 권한을 보려면 해당 정책을 선택합니다.

out-of-date 기본 인스턴스 프로필 업데이트

기본 인스턴스 프로파일에 필요한 권한이 없는 경우 EC2 인스턴스 프로파일에 할당된 역할에 관리형 정책을 수동으로 추가할 수 있습니다.

기본 인스턴스 프로파일에 연결된 역할에 관리형 정책을 추가하려면

IAM 콘솔에서 역할(Roles) 페이지를 엽니다.
EC2 인스턴스 프로파일로 할당된 역할을 선택합니다.
권한 탭에서 정책 연결을 선택합니다.
AWSElasticBeanstalk를 입력하여 정책을 필터링합니다.
다음 정책을 선택한 후 정책 연결을 선택합니다.
- AWSElasticBeanstalkWebTier
- AWSElasticBeanstalkWorkerTier
- AWSElasticBeanstalkMulticontainerDocker

기본 인스턴스 프로파일에 권한 추가

애플리케이션이 기본 인스턴스 프로필에 권한이 부여되지 않은 AWS API 또는 리소스에 액세스하는 경우 IAM 콘솔에서 권한을 부여하는 정책을 추가하십시오.

기본 인스턴스 프로파일에 연결된 역할에 정책을 추가하려면

IAM 콘솔에서 역할(Roles) 페이지를 엽니다.
EC2 인스턴스 프로파일로 할당된 역할을 선택합니다.
권한 탭에서 정책 연결을 선택합니다.
애플리케이션이 사용하는 추가 서비스의 관리형 정책을 선택합니다. 예: AmazonS3FullAccess또는 AmazonDynamoDBFullAccess.
정책 연결(Attach policies)을 선택합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

IAM

서비스 역할