服務角色、執行個體描述檔和使用者政策 - AWS Elastic Beanstalk

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

服務角色、執行個體描述檔和使用者政策

當您建立環境時,AWS Elastic Beanstalk 會提示您輸入以下 AWS Identity and Access Management (IAM) 角色:

  • 服務角色:Elastic Beanstalk 會擔任服務角色,以代表您使用其他 AWS 服務 服務。

  • 執行個體設定檔 Elastic Beanstalk 會將執行個體設定檔套用於環境中的執行個體。它可讓執行個體執行下列操作:

    • 從 Amazon Simple Storage Service (Amazon S3) 擷取應用程式版本

    • 將日誌上傳到 Amazon S3。

    • 執行視環境類型和平台而異的其他任務。

服務角色

當您使用 Elastic Beanstalk 主控台或透過 Elastic Beanstalk EB CLI 建立環境時,會建立所需的服務角色並分配受管政策。這些策略包括所有必要的許可權限。現在,假設您的帳户已有服務角色,然後您使用 Elastic Beanstalk 主控台或使用 Elastic Beanstalk CLI 創立了一個新環境。在這種情況下,現有的服務角色將自動分配給新環境。

執行個體描述檔

如果您的 AWS 帳戶沒有 EC2 執行個體設定檔,您必須使用 IAM 服務建立一個。然後,您可以將 EC2 執行個體設定檔指派給您建立的新環境。建立環境精靈提供可指導您完成 IAM 服務的資訊,以便您建立具有所需許可的 EC2 執行個體設定檔。建立執行個體設定檔後,您就可以返回主控台,將其選為 EC2 執行個體設定檔,然後繼續建立環境的步驟。

注意

先前,Elastic Beanstalk 在 AWS 帳戶初次建立環境時,建立了一個名稱為 aws-elasticbeanstalk-ec2-role 的預設 EC2 執行個體設定檔。此執行個體設定檔包含預設受管政策。如果您的帳戶已經擁有此執行個體設定檔,您仍然可以將其指派給您的環境。

不過,最近的 AWS 安全性準則不允許 AWS 服務自動建立具有信任政策的角色給其他 AWS 服務 (在這種情況下為 EC2)。基於這些安全性準則,Elastic Beanstalk 不再建立預設 aws-elasticbeanstalk-ec2-role 執行個體設定檔。

使用者政策

除了指派至您環境的角色,您亦可建立使用者政策,並將其套用於您帳戶的 IAM 使用者和群組。套用使用者政策可讓使用者建立並管理 Elastic Beanstalk 應用程式和環境。Elastic Beanstalk 亦可提供完整存取和唯讀存取的受管政策。如需這些政策的詳細資訊,請參閱管理 Elastic Beanstalk 使用者政策

其他執行個體設定檔和使用者政策

您可以建立自己的執行個體描述檔和使用者政策,供進階情境使用。若您的執行個體須存取的服務未包含在預設政策中,您可以建立新的政策,或是將其他政策新增至預設政策。若受管政策的許可過於寬鬆,您亦可建立更嚴格的使用者政策。如需 AWS 許可的詳細資訊,請參閱《IAM 使用者指南》。

主題