服务角色、实例配置文件和用户策略 - Amazon Elastic Beanstalk
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

服务角色、实例配置文件和用户策略

在创建环境时,Amazon Elastic Beanstalk 会提示您提供以下 Amazon Identity and Access Management(IAM)角色:

  • 服务角色:Elastic Beanstalk 将代入服务角色以代表您使用其他 Amazon Web Services 服务。

  • 实例配置文件:Elastic Beanstalk 将实例配置文件应用于环境中的实例。这将允许实例执行以下操作:

    • 从 Amazon Simple Storage Service(Amazon S3)检索应用程序版本

    • 将日志上载到 Amazon S3。

    • 执行因环境类型和平台而异的其他任务。

服务角色

在 Elastic Beanstalk 控制台中或使用 Elastic Beanstalk EB CLI 创建环境时,系统会创建所需的服务角色并分配托管式策略。这些策略将会包含所有必要的权限。现在,假设您的账户中已经存在此服务角色,然后在 Elastic Beanstalk 控制台中或使用 Elastic Beanstalk CLI 创建一个新环境。这时,现有的服务角色将会自动分配给新环境。

实例配置文件

如果您的 Amazon 账户没有 EC2 实例配置文件,则必须使用 IAM 服务创建一个。然后,您可以将此 EC2 实例配置文件分配到您创建的新环境。创建环境向导提供了相关的信息,以在您使用 IAM 服务过程提供指导,确保您可以创建具有所需权限的 EC2 实例配置文件。创建该实例配置文件后,您可以返回控制台以将其选中并作为 EC2 实例配置文件,然后继续执行创建环境的相关步骤。

注意

以前,Elastic Beanstalk 会在 Amazon 账户首次创建环境时创建一个名为 aws-elasticbeanstalk-ec2-role 的默认 EC2 实例配置文件。该实例配置文件包含默认的托管式策略。如果您的账户已经有该实例配置文件,则可继续将其分配到您的环境。

但根据最新的 Amazon 安全准则,不允许 Amazon 服务自动创建具有其他 Amazon 服务(在本例中为 EC2)的信任策略的角色。根据这些安全准则,Elastic Beanstalk 将不再创建默认的 aws-elasticbeanstalk-ec2-role 实例配置文件。

用户策略

除了您分配给环境的角色外,您还可以创建用户策略并将其应用于账户中的 IAM 用户和组。应用用户策略将会允许用户创建和管理 Elastic Beanstalk 应用程序和环境。Elastic Beanstalk 还提供具有完全访问权限和只读访问权限的托管式策略。有关这些策略的更多信息,请参阅 管理 Elastic Beanstalk 用户策略

其他实例配置文件和用户策略

您可为高级方案自行创建实例配置文件和用户策略。如果实例需要访问原定设置策略中未包含的服务,您可以创建新策略或者为原定设置策略添加额外的策略。如果托管式策略对于您的需求而言过于宽松,则也可创建更严格的用户策略。有关 Amazon 权限的更多信息,请参阅 IAM 用户指南

主题