Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Elastic Beanstalk Service-Rollen, Instanzprofile und Benutzerrichtlinien
<a name="concepts-roles"></a>

Rollen sind Entitäten, die Sie mit AWS Identity and Access Management (IAM) erstellen, um Berechtigungen anzuwenden. Es gibt Rollen, die erforderlich sind, damit Ihre Elastic Beanstalk Beanstalk-Umgebung ordnungsgemäß funktioniert. Sie haben auch die Möglichkeit, Ihre eigenen benutzerdefinierten Richtlinien und Rollen zu erstellen, die Sie Benutzern oder Gruppen zuweisen können. 

## Erforderliche Rollen für Ihre Elastic Beanstalk Beanstalk-Umgebung
<a name="concepts-roles-required"></a>

 Wenn Sie eine Umgebung erstellen, werden Sie AWS Elastic Beanstalk aufgefordert, die folgenden AWS Identity and Access Management (IAM-) Rollen anzugeben: 
+  [Servicerolle](concepts-roles-service.md): Elastic Beanstalk übernimmt eine Servicerolle, um andere in AWS-Services Ihrem Namen zu nutzen. 
+  [Instance-Profil](concepts-roles-instance.md) Elastic Beanstalk wendet ein Instance-Profil auf die Amazon EC2 EC2-Instances in Ihrer Umgebung an. Mit dieser Aktion können sie erforderliche Aufgaben ausführen, z. B. das Abrufen von Informationen von Amazon Simple Storage Service (Amazon S3) und das Hochladen von Protokollen auf S3.

**Erstellen Sie die Servicerolle und die EC2-Instance-Profilrolle**  
Wenn Ihr AWS Konto kein EC2-Instanzprofil oder keine Servicerolle hat, müssen Sie mit dem IAM-Dienst jeweils eines davon erstellen. Anschließend können Sie das EC2-Instanzprofil und die Servicerolle neuen Umgebungen zuweisen, die Sie erstellen. Der Assistent zum **Erstellen einer Umgebung** führt Sie zum IAM-Dienst, sodass Sie diese Rollen mit den erforderlichen Berechtigungen erstellen können.

## Optionale Richtlinien und Rollen zur Verwaltung Ihrer Elastic Beanstalk Beanstalk-Umgebung
<a name="concepts-roles-additional"></a>

Sie können optional [Benutzerrichtlinien](concepts-roles-user.md) erstellen und diese auf IAM-Benutzer und -Gruppen in Ihrem Konto anwenden. Auf diese Weise können die Benutzer Elastic Beanstalk Beanstalk-Anwendungen und -Umgebungen erstellen und verwalten. Sie können Elastic Beanstalk auch [verwaltete Richtlinien](AWSHowTo.iam.managed-policies.md) für Vollzugriff und Lesezugriff für Benutzer oder Gruppen zuweisen. Weitere Informationen zu diesen Richtlinien finden Sie unter [Elastic Beanstalk-Benutzerrichtlinien verwalten](AWSHowTo.iam.managed-policies.md).

Sie können Ihre eigenen Instance-Profile und Benutzerrichtlinien für erweiterte Szenarien erstellen. Wenn Ihre Instances Zugriff auf Services benötigen, die nicht in den Standardrichtlinien enthalten sind, können Sie eine neue Richtlinie erstellen oder weitere Richtlinien zum Standard hinzufügen. Wenn die verwaltete Richtlinie für Ihre Anforderungen zu offen ist, können Sie auch strengere Benutzerrichtlinien erstellen. []()

# Elastic Beanstalk-Servicerolle
<a name="concepts-roles-service"></a>

Eine Servicerolle ist die IAM-Rolle, die Elastic Beanstalk annimmt, wenn andere Services in Ihrem Namen aufgerufen werden. Elastic Beanstalk verwendet beispielsweise eine Service-Rolle, wenn es Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing und Amazon EC2 Auto Scaling APIs aufruft, um Informationen zu sammeln. Die Servicerolle, die Elastic Beanstalk verwendet, ist diejenige, die Sie beim Erstellen der Elastic-Beanstalk-Umgebung angegeben haben.

Es gibt zwei verwaltete Richtlinien, die mit der Servicerolle verbunden sind. Diese Richtlinien stellen die Berechtigungen bereit, mit denen Elastic Beanstalk auf die erforderlichen AWS Ressourcen zugreifen kann, um Ihre Umgebungen zu erstellen und zu verwalten. Eine verwaltete Richtlinie bietet Berechtigungen für die [erweiterte Zustandsüberwachung](health-enhanced.md) und die Unterstützung von Amazon SQS auf der Worker-Ebene, und eine andere bietet zusätzliche Berechtigungen, die für [verwaltete Plattform-Updates](environment-platform-update-managed.md) erforderlich sind. 



## `AWSElasticBeanstalkEnhancedHealth`
<a name="iam-servicerole-policy.health"></a>

Diese Richtlinie erteilt Berechtigungen für die Überwachung der Instance- und Umgebungsintegrität durch Elastic Beanstalk. Sie umfasst auch Amazon-SQS-Aktionen, damit Elastic Beanstalk die Warteschlangenaktivität für Worker-Umgebungen überwachen kann. Den Inhalt dieser verwalteten Richtlinie finden Sie auf der [ AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)Seite im *Referenzhandbuch für AWS verwaltete Richtlinien.*

## `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
<a name="iam-servicerole-policy.service"></a>

Diese Richtlinie erteilt Elastic Beanstalk Berechtigungen, um Umgebungen in Ihrem Namen zu aktualisieren, um verwaltete Plattformaktualisierungen durchzuführen. Den Inhalt dieser verwalteten Richtlinie finden Sie [AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)auf der Seite im *Referenzhandbuch für AWS verwaltete Richtlinien*. 

**Service Level-Berechtigungsgruppierungen**

Diese Richtlinie ist in Anweisungen gruppiert, die auf den bereitgestellten Berechtigungen basieren.
+ *`ElasticBeanstalkPermissions`*— Diese Gruppe von Berechtigungen dient zum Aufrufen der Elastic Beanstalk-Serviceaktionen (Elastic APIs Beanstalk).
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`* – Diese Berechtigungsgruppe ermöglicht es, jede Rolle an Elastic Beanstalk und an andere nachgelagerte Services wie CloudFormation zu übergeben.
+ *`ReadOnlyPermissions`* — Diese Berechtigungsgruppe dient zum Sammeln von Informationen über die laufende Umgebung.
+ *`*OperationPermissions`* — Gruppen mit diesem Benennungsmuster dienen zum Aufrufen der notwendigen Vorgänge zur Durchführung von Plattformaktualisierungen.
+ *`*BroadOperationPermissions`* — Gruppen mit diesem Benennungsmuster dienen zum Aufrufen der notwendigen Vorgänge zur Durchführung von Plattformaktualisierungen. Sie enthalten auch umfassende Berechtigungen zur Unterstützung von Legacy-Umgebungen.
+ *`*TagResource`*— Gruppen mit diesem Benennungsmuster sind für Aufrufe vorgesehen, die Tags tag-on-create APIs an Ressourcen anhängen, die in einer Elastic Beanstalk Beanstalk-Umgebung erstellt werden.

Sie können eine Elastic-Beanstalk-Umgebung mit einem der folgenden Ansätze erstellen. In jedem Abschnitt wird beschrieben, wie der Ansatz mit der Servicerolle umgeht.

**Elastic-Beanstalk-Konsole**  
Wenn Sie eine Umgebung mit der Elastic-Beanstalk-Konsole erstellen, werden Sie von Elastic Beanstalk aufgefordert, eine Servicerolle namens `aws-elasticbeanstalk-service-role` zu erstellen. Wenn diese Rolle über Elastic Beanstalk erstellt wird, enthält sie eine Vertrauensrichtlinie, die Elastic Beanstalk erlaubt, die Servicerolle zu übernehmen. Die beiden verwalteten Richtlinien, die weiter oben in diesem Thema beschrieben wurden, sind ebenfalls mit der Rolle verknüpft.

**Elastic Beanstalk Command Line Interface (EB CLI)**  
Sie können eine Umgebung mit dem Befehl [**eb create**](eb3-create.md) des Elastic Beanstalk Command Line Interface (EB CLI) erstellen. Wenn Sie keine Servicerolle über die Option `--service-role` angeben. Elastic Beanstalk erstellt dieselbe Standard-Servicerolle `aws-elasticbeanstalk-service-role`. Wenn die standardmäßige Servicerolle bereits vorhanden ist, verwendet Elastic Beanstalk diese für die neue Umgebung. Wenn diese Rolle über Elastic Beanstalk erstellt wird, enthält sie eine Vertrauensrichtlinie, die Elastic Beanstalk erlaubt, die Servicerolle zu übernehmen. Die beiden verwalteten Richtlinien, die weiter oben in diesem Thema beschrieben wurden, sind ebenfalls mit der Rolle verknüpft.

**Elastic-Beanstalk-API**  
Sie können über die Aktion `CreateEnvironment` der Elastic Beanstalk Beanstalk-API eine Umgebung erstellen. Wenn Sie keine Servicerolle angeben, erstellt Elastic Beanstalk eine servicegebundene Überwachungsrolle. Dies ist eine einzigartige Art von Servicerolle, die von Elastic Beanstalk so vordefiniert ist, dass sie alle Berechtigungen enthält, die der Service benötigt, um andere in AWS-Services Ihrem Namen aufzurufen. Die serviceverknüpfte Rolle ist Ihrem Konto zugeordnet. Sie wird von Elastic Beanstalk einmalig erstellt und dann zum Erstellen weiterer Umgebungen wiederverwendet. Sie können die serviceverknüpfte Überwachungsrolle Ihres Kontos auch im Voraus mit IAM erstellen. Wenn Ihr Konto eine servicegebundene Überwachungsrolle hat, können Sie damit eine Umgebung mit der Elastic Beanstalk-Konsole, der Elastic Beanstalk- oder der EB CLI erstellen. Weitere Informationen zur Verwendung von serviceverknüpften Rollen mit Elastic-Beanstalk-Umgebungen finden Sie unter [Servicegebundene Rollen für Elastic Beanstalk verwenden](using-service-linked-roles.md).

Weitere Informationen zu Servicerollen finden Sie unter [Rollen von Elastic Beanstalk Service verwalten](iam-servicerole.md).

# Elastic Beanstalk-Instance-Profil
<a name="concepts-roles-instance"></a>

Ein Instance-Profil ist eine IAM-Rolle, die für in der Elastic-Beanstalk-Umgebung gestartete Amazon-EC2-Instances gilt. Wenn Sie eine Elastic-Beanstalk-Umgebung erstellen, geben Sie das Instance-Profil an, das verwendet wird, wenn Ihre EC2-Instances Folgendes tun:
+ [Anwendungsversionen](concepts.md#concepts-version) von Amazon Simple Storage Service (Amazon S3) abrufen
+ Protokolle in Amazon S3 schreiben
+ In [integrierten AWS X-Ray -Umgebungen](environment-configuration-debugging.md) Debugging-Daten in X-Ray hochladen
+ In von Amazon ECS verwalteten Docker-Umgebungen Container-Bereitstellungen mit Amazon Elastic Container Service (Amazon ECS) koordinieren
+ In Worker-Umgebungen aus einer Amazon Simple Queue Service (Amazon SQS)-Warteschlange lesen
+ In Worker-Umgebungen die Leader-Wahl mit Amazon DynamoDB durchführen
+ Veröffentlichen Sie in Mitarbeiterumgebungen Instanzzustandsmetriken auf Amazon CloudWatch

## Verwaltete Richtlinien
<a name="concepts-roles-instance.managed-policies"></a>

Elastic Beanstalk bietet eine Reihe von verwalteten Richtlinien, mit denen die EC2-Instances in Ihrer Umgebung die erforderlichen Operationen ausführen können. Die folgenden verwalteten Richtlinien sind für grundlegende Anwendungssfälle erforderlich.
+ `AWSElasticBeanstalkWebTier`
+ `AWSElasticBeanstalkWorkerTier`
+ `AWSElasticBeanstalkMulticontainerDocker`

Wenn Ihre Webanwendung Zugriff auf weitere zusätzliche Dienste benötigt AWS-Services, fügen Sie dem Instance-Profil Anweisungen oder verwaltete Richtlinien hinzu, die den Zugriff auf diese Dienste ermöglichen. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zum Instance-Standardprofil](iam-instanceprofile.md#iam-instanceprofile-addperms).

## Ein EC2-Instanzprofil erstellen
<a name="concepts-roles-instance.create-instance-profile"></a>

 Wenn Ihr AWS Konto kein EC2-Instanzprofil hat, müssen Sie eines mithilfe des IAM-Dienstes erstellen. Anschließend können Sie das EC2-Instance-Profil neuen Umgebungen zuweisen, die Sie erstellen. Die Schritte **Umgebung erstellen** in der Elastic Beanstalk Beanstalk-Konsole bieten Ihnen Zugriff auf die IAM-Konsole, sodass Sie ein EC2-Instance-Profil mit den erforderlichen Berechtigungen erstellen können. 

Sie können auch ein EC2-Instance-Profil erstellen, indem Sie direkt auf die IAM-Konsole zugreifen, ohne die Elastic Beanstalk-Konsole verwenden zu müssen. Ausführliche Schritte zum Erstellen eines Elastic Beanstalk EC2-Instance-Profils in der IAM-Konsole finden Sie unter. [Erstellen eines Instance-Profils](iam-instanceprofile.md#iam-instanceprofile-create) 

# Elastic Beanstalk-Benutzerrichtlinie
<a name="concepts-roles-user"></a>

Erstellen Sie IAM-Benutzer für jeden Benutzer, der Elastic Beanstalk verwendet, damit Sie Ihr Stammkonto nicht verwenden oder Anmeldeinformationen weitergeben müssen. Als bewährte Sicherheitsmethode sollten Sie diesen Benutzern nur Berechtigungen für den Zugriff auf Dienste und Funktionen erteilen, die sie benötigen.

Elastic Beanstalk erfordert Berechtigungen nicht nur für die eigenen API-Aktionen, sondern auch für einige andere AWS -Services. Elastic Beanstalk verwendet Benutzerberechtigungen, um Ressourcen in einer Umgebung zu starten. Zu diesen Ressourcen gehören EC2-Instances, ein Elastic Load Balancing Load Balancer und eine Auto-Scaling-Gruppe. Elastic Beanstalk verwendet Benutzerberechtigungen auch, um Protokolle und Vorlagen in Amazon Simple Storage Service (Amazon S3) zu speichern, Benachrichtigungen an Amazon SNS zu senden, Instance-Profile zuzuweisen und Metriken zu veröffentlichen. CloudWatch Elastic Beanstalk benötigt CloudFormation Berechtigungen, um Ressourcenbereitstellungen und Updates zu orchestrieren. Es sind auch Amazon RDS-Berechtigungen zum Erstellen von Datenbanken (bei Bedarf) und Amazon SQS-Berechtigungen zum Erstellen von Warteschlangen für Worker-Umgebungen erforderlich.

Weitere Informationen zu Benutzerrichtlinien finden Sie unter [Elastic Beanstalk-Benutzerrichtlinien verwalten](AWSHowTo.iam.managed-policies.md).