As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar políticas de endpoint para controlar o acesso com VPC endpoints
Este tópico explica como anexar uma política a endpoints de VPC para controlar o acesso à sua aplicação (serviço) e ao ambiente Elastic Beanstalk.
Uma política de endpoint é uma política de recurso do AWS Identity and Access Management (IAM) que controla o acesso do endpoint ao serviço especificado. A política de endpoint é específica ao endpoint. Ela é separada de outras políticas do IAM de usuário ou instância que seu ambiente possa ter e não as substitui.
Por padrão, um VPC endpoint permite acesso total ao serviço ao qual está associado. Ao criar ou modificar um endpoint, você pode anexar uma política de endpoint para controlar o acesso a recursos específicos associados ao serviço. Para obter detalhes sobre a criação e o uso de políticas de endpoint de VPC, consulte Controle o acesso aos endpoints da VPC usando políticas de endpoint no Guia do AWS PrivateLink.
nota
Ao criar políticas de endpoint restritivas, talvez você precise adicionar permissões específicas aos recursos necessários para que o acesso a esses recursos não seja bloqueado pela política de endpoint. Isso garante que seu ambiente continue a ser implementado e funcione adequadamente.
O exemplo a seguir nega a todos os usuários a permissão para encerrar um ambiente por meio do VPC endpoint e permite acesso total a todas as outras ações.
{ "Statement": [ { "Action": "*", "Effect": "Allow", "Resource": "*", "Principal": "*" }, { "Action": "elasticbeanstalk:TerminateEnvironment", "Effect": "Deny", "Resource": "*", "Principal": "*" } ] }
Permissões de bucket do Amazon S3 necessárias para políticas restritivas de endpoint de VPC
Se você adicionar restrições às suas políticas de endpoint de VPC, deverá incluir permissões específicas de bucket do Amazon S3 para garantir que o ambiente continue a ser implantado e funcione adequadamente. Esta seção explica os buckets S3 necessários e inclui exemplos de políticas.
Tópicos
- Buckets do S3 que armazenam ativos para gerenciar plataformas de ambiente
- Buckets do S3 pertencentes ao AWS CloudFormation
- Buckets do S3 pertencentes a contas de clientes para armazenar código-fonte e outros itens
- Buckets do S3 pertencentes a contas de clientes para oferecer suporte à autenticação de registro do Docker
- Atualizar sua política de endpoint de VPC
Buckets do S3 que armazenam ativos para gerenciar plataformas de ambiente
O serviço Elastic Beanstalk possui buckets do S3 que armazenam os ativos associados a uma pilha de soluções (versão da plataforma). Esses ativos incluem arquivos de configuração, a aplicação de exemplo e os tipos de instância disponíveis. Quando o Elastic Beanstalk cria e gerencia o ambiente, ele recupera as informações necessárias para a versão específica da plataforma do bucket de ativos para cada Região da AWS correspondente.
ARN do bucket do S3
arn:aws:s3:::elasticbeanstalk-samples-
region
Amazon Linux 2 e posterior
-
arn:aws:s3:::elasticbeanstalk-platform-assets-regionnota
O nome do bucket segue uma convenção diferente para a região BJS. A string public-beta-cn-north-1 é usada no lugar de
região. Por exemplo,arn:aws:s3:::elasticbeanstalk-platform-assets-public-beta-cn-north-1.
Windows Server, Amazon Linux (AMI), Amazon Linux 2 e versões posteriores
-
arn:aws:s3:::elasticbeanstalk-env-resources-region -
arn:aws:s3:::elasticbeanstalk-region
Operações
GetObject
Exemplo de política de endpoint de VPC
O exemplo a seguir ilustra como fornecer acesso aos buckets do S3 necessários para operações do Elastic Beanstalk na região Leste dos EUA (Ohio) (us-east-2). O exemplo lista todos os buckets das plataformas Amazon Linux e Windows Server. Atualize sua política para incluir apenas os buckets que se aplicam ao sistema operacional do ambiente.
Importante
Recomendamos que você evite usar caracteres curinga (*) no lugar das regiões específicas nessa política. Por exemplo, use arn:aws:s3:::cloudformation-waitcondition-us-east-2/* e não use arn:aws:s3:::cloudformation-waitcondition-*/*. O uso de curingas pode fornecer acesso a buckets do S3 aos quais você não pretende conceder acesso. Se você quiser usar a política para mais de uma região, recomendamos repetir o primeiro bloco Statement para cada região.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-samples-us-east-2/*" ] } ] }
Buckets do S3 pertencentes ao AWS CloudFormation
O Elastic Beanstalk usa o AWS CloudFormation para criar recursos para seu ambiente. O CloudFormation possui buckets do S3 em cada Região da AWS para monitorar respostas a condições de espera.
Serviços como o Elastic Beanstalk se comunicam com o CloudFormation enviando solicitações a um URL do Amazon S3 predefinido para o bucket do S3 de propriedade do CloudFormation. O CloudFormation cria o URL predefinido do Amazon S3 usando a entidade principal do serviço cloudformation.amazonaws.com.
Para obter informações mais detalhadas, consulte Considerações sobre os endpoints VPC do CloudFormation no Guia do usuário do AWS CloudFormation. Para saber mais sobre URLs pré-assinados, consulte Trabalhar com URLs pré-assinados no Guia do usuário do Amazon S3.
ARN do bucket do S3
-
arn:aws:s3:::cloudformation-waitcondition-regionAo usar condições de espera, os nomes de região contêm traços. Por exemplo, Oeste-EUA-2.
-
arn:aws:s3:::cloudformation-custom-resource-response-regionAo usar recursos personalizados, os nomes de região não contêm traços. Por exemplo: uswest2.
Operações
GetObject
Exemplo de política de endpoint de VPC
O exemplo a seguir ilustra como fornecer acesso aos buckets do S3 necessários para operações do Elastic Beanstalk na região Leste dos EUA (Ohio) (us-east-2).
Importante
Recomendamos que você evite usar caracteres curinga (*) no lugar das regiões específicas nessa política. Por exemplo, use arn:aws:s3:::cloudformation-waitcondition-us-east-2/* e não use arn:aws:s3:::cloudformation-waitcondition-*/*. O uso de curingas pode fornecer acesso a buckets do S3 aos quais você não pretende conceder acesso. Se você quiser usar a política para mais de uma região, recomendamos repetir o primeiro bloco Statement para cada região.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-us-east-2/*", "arn:aws:s3:::cloudformation-custom-resource-response-us-east-2/*" ] } ] }
Buckets do S3 pertencentes a contas de clientes para armazenar código-fonte e outros itens
Esse bucket é de propriedade da conta de cliente da AWS que é proprietária do ambiente. Ele armazena recursos específicos do seu ambiente, como código-fonte e logs solicitados.
ARN do bucket do S3
arn:aws:s3:::elasticbeanstalk-
region-account-id
Operações
-
GetObject
-
GetObjectAcl
-
PutObject
-
PutObjectAcl
-
ListBucket
Exemplo de política de endpoint de VPC
O exemplo a seguir ilustra como fornecer acesso aos buckets do S3 necessários para as operações do Elastic Beanstalk na região leste dos EUA (Ohio) (us-east-2) e para o ID da conta da AWS de exemplo: 123456789012.
Importante
Recomendamos que você evite usar caracteres curinga (*) no lugar das regiões específicas nessa política. Por exemplo, use arn:aws:s3:::cloudformation-waitcondition-us-east-2/* e não use arn:aws:s3:::cloudformation-waitcondition-*/*. O uso de curingas pode fornecer acesso a buckets do S3 aos quais você não pretende conceder acesso. Se você quiser usar a política para mais de uma região, recomendamos repetir o primeiro bloco Statement para cada região.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject", "GetObjectAcl", "PutObject", "PutObjectAcl", "ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/*" ] } ] }
Buckets do S3 pertencentes a contas de clientes para oferecer suporte à autenticação de registro do Docker
Esse bucket só se aplica a ambientes baseados na plataforma Docker. O bucket armazena um arquivo usado para autenticação em um registro privado do Docker que reside em um bucket do S3 provisionado pelo cliente. Para obter mais informações, consulte Usando o arquivo Dockerrun.aws.json v3 no capítulo sobre a plataforma Docker deste guia.
ARN do bucket do S3
O ARN varia de acordo com a conta do cliente.
O ARN do bucket do S3 tem o seguinte formato: arn:aws:s3:::bucket-name
Operações
GetObject
Exemplo de política de endpoint de VPC
O exemplo a seguir ilustra como fornecer acesso a um bucket do S3 com o nome amzn-s3-demo-bucket1.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1" ] } ] }
Atualizar sua política de endpoint de VPC
Como um endpoint de VPC tem apenas uma política anexada, você deve combinar todas as permissões em uma única política. O exemplo a seguir fornece todos os exemplos anteriores combinados em um só.
Para obter detalhes sobre a criação e o uso de políticas de endpoint de VPC, consulte Controle o acesso aos endpoints da VPC usando políticas de endpoint no Guia do AWS PrivateLink.
Assim como os exemplos anteriores, o exemplo a seguir ilustra como fornecer acesso aos buckets do S3 necessários para as operações do Elastic Beanstalk na região leste dos EUA (Ohio) (us-east-2). Também inclui buckets com o exemplo AWS account id 123456789012 e o nome do bucket de exemplo amzn-s3-demo-bucket1.
Importante
Recomendamos que você evite usar caracteres curinga (*) no lugar das regiões específicas nessa política. Por exemplo, use arn:aws:s3:::cloudformation-waitcondition-us-east-2/* e não use arn:aws:s3:::cloudformation-waitcondition-*/*. O uso de curingas pode fornecer acesso a buckets do S3 aos quais você não pretende conceder acesso. Se você quiser usar a política para mais de uma região, recomendamos repetir o primeiro bloco Statement para cada região.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRequestsToAWSResources", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::elasticbeanstalk-platform-assets-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-env-resources-us-east-2/*", "arn:aws:s3:::elasticbeanstalk-samples-us-east-2/*" ] }, { "Sid": "AllowRequestsToCloudFormation", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["s3:GetObject"], "Resource": [ "arn:aws:s3:::cloudformation-waitcondition-us-east-2/*", "arn:aws:s3:::cloudformation-custom-resource-response-us-east-2/*" ] }, { "Sid": "AllowRequestsToCustomerItems", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject", "GetObjectAcl", "PutObject", "PutObjectAcl", "ListBucket" ], "Resource": [ "arn:aws:s3:::elasticbeanstalk-us-east-2-123456789012/*" ] }, { "Sid": "AllowRequestsToDockerRegistryAuth", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": ["GetObject"], "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1"" ] } ] }
