Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Roles de servicio, perfiles de instancia y políticas de usuario de Elastic Beanstalk
<a name="concepts-roles"></a>

Los roles son entidades que se crean con AWS Identity and Access Management (IAM) para aplicar permisos. Hay roles necesarios para que el entorno de Elastic Beanstalk funcione correctamente. También puede crear sus propios roles y políticas personalizados y asignarlos a usuarios o grupos. 

## Roles necesarios para su entorno de Elastic Beanstalk
<a name="concepts-roles-required"></a>

 Al crear un entorno, AWS Elastic Beanstalk le pide que proporcione las siguientes funciones AWS Identity and Access Management (de IAM): 
+  [Función de servicio](concepts-roles-service.md): Elastic Beanstalk asume una función de servicio para Servicios de AWS utilizar otra en su nombre. 
+  [Perfil de instancia](concepts-roles-instance.md): Elastic Beanstalk aplica un perfil de instancia a las instancias de Amazon EC2 de su entorno. Esta acción les permite realizar las tareas necesarias, como recuperar información de Amazon Simple Storage Service (Amazon S3) y cargar registros en S3.

**Cree un rol de servicio y un rol de perfil de instancia de EC2.**  
Si su AWS cuenta no tiene un perfil de instancia EC2 ni un rol de servicio, debe crear uno de cada uno de ellos mediante el servicio de IAM. Después, puede asignar el perfil de instancia de EC2 y el rol de servicio a los nuevos entornos que cree. El asistente para **Crear entorno** proporciona información que guía a través del servicio IAM, para que pueda crear los roles con los permisos necesarios.

## Políticas y roles opcionales para administrar el entorno de Elastic Beanstalk
<a name="concepts-roles-additional"></a>

Si lo desea, puede crear [políticas de usuario](concepts-roles-user.md) y aplicarlas a los usuarios y grupos de IAM de su cuenta. Esto permite a los usuarios crear y administrar entornos y aplicaciones de Elastic Beanstalk. También puede asignar [políticas administradas](AWSHowTo.iam.managed-policies.md) de Elastic Beanstalk para conceder acceso completo o de solo lectura a usuarios y grupos. Para obtener más información sobre estas políticas, consulte [Administración de políticas de usuario de Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).

Puede crear sus propios perfiles de instancia y políticas de usuario para escenarios avanzados. Si las instancias necesitan tener acceso a servicios que no están incluidos en las políticas predeterminadas, puede añadir políticas adicionales a las políticas predeterminadas. Si la política administrada es demasiado permisiva para sus necesidades, también puede crear políticas de usuario más restrictivas. Para obtener más información sobre AWS los permisos, consulte la Guía del usuario de []()

# Rol de servicio de Elastic Beanstalk
<a name="concepts-roles-service"></a>

Un rol de servicio es el rol de IAM que asume Elastic Beanstalk cuando llama a otros servicios en su nombre. Por ejemplo, Elastic Beanstalk usa un rol de servicio cuando llama a Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing y Amazon EC2 Auto Scaling para recopilar información. APIs El rol de servicio que utiliza Elastic Beanstalk es el que especificó cuando creó el entorno de Elastic Beanstalk.

Hay dos políticas administradas que están asociadas al rol de servicio. Estas políticas proporcionan los permisos que permiten a Elastic Beanstalk acceder a los recursos necesarios para crear AWS y administrar sus entornos. Una política administrada brinda permisos para la [supervisión de estado mejorada](health-enhanced.md) y la compatibilidad con el nivel de trabajo de Amazon SQS, y otra política provee los permisos adicionales necesarios para las [actualizaciones de plataforma administradas](environment-platform-update-managed.md). 



## `AWSElasticBeanstalkEnhancedHealth`
<a name="iam-servicerole-policy.health"></a>

Esta política concede permisos a Elastic Beanstalk para supervisar el estado de las instancias y del entorno. También incluye acciones de Amazon SQS para permitir que Elastic Beanstalk supervise la actividad de cola para entornos de trabajo. Para ver el contenido de esta política administrada, consulte la [ AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)página de la Guía de referencia de *políticas AWS administradas*.

## `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
<a name="iam-servicerole-policy.service"></a>

Esta política concede permisos a Elastic Beanstalk para actualizar los entornos en su nombre para realizar actualizaciones de plataformas administradas. Para ver el contenido de esta política gestionada, consulte la [AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)página de la *Guía de referencia de políticas AWS gestionadas*. 

**Agrupaciones de permisos de nivel de servicio**

Esta política se agrupa en instrucciones basadas en el conjunto de permisos proporcionados.
+ *`ElasticBeanstalkPermissions`*— Este grupo de permisos sirve para llamar a las acciones del servicio de Elastic Beanstalk (Elastic Beanstalk). APIs
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`*: este grupo de permisos permite que cualquier rol se transfiera a Elastic Beanstalk y a otros servicios descendentes como CloudFormation.
+ *`ReadOnlyPermissions`*: este grupo de permisos sirve para recopilar información sobre el entorno en ejecución.
+ *`*OperationPermissions`*: los grupos con este patrón de nomenclatura son para llamar a las operaciones necesarias a fin de llevar a cabo actualizaciones de plataforma.
+ *`*BroadOperationPermissions`*: los grupos con este patrón de nomenclatura son para llamar a las operaciones necesarias a fin de llevar a cabo actualizaciones de plataforma. También incluyen amplios permisos para admitir entornos heredados.
+ *`*TagResource`*— Los grupos con este patrón de nomenclatura son para las llamadas que utilizan el para adjuntar etiquetas tag-on-create APIs a los recursos que se están creando en un entorno de Elastic Beanstalk.

Puede crear un entorno de Elastic Beanstalk con cualquiera de los siguientes enfoques. Cada sección describe cómo el enfoque administra el rol de servicio.

**Consola de Elastic Beanstalk**  
Si crea un entorno mediante la consola de Elastic Beanstalk, Elastic Beanstalk le pide que cree un rol de servicio denominado `aws-elasticbeanstalk-service-role`. Cuando se crea con Elastic Beanstalk, este rol incluye una política de confianza que permite a Elastic Beanstalk asumir el rol de servicio. Las dos políticas administradas antes mencionadas en este tema también se asocian al rol.

**Interfaz de la línea de comandos de Elastic Beanstalk (CLI de EB)**  
Puede crear un entorno mediante el comando [**eb create**](eb3-create.md) de la interfaz de línea de comandos de Elastic Beanstalk (CLI de EB). Si no especifica un rol de servicio mediante la opción `--service-role`. Elastic Beanstalk crea el mismo rol de servicio `aws-elasticbeanstalk-service-role` predeterminado. Si el rol de servicio predeterminado ya existe, Elastic Beanstalk lo utiliza para el entorno nuevo. Cuando se crea con Elastic Beanstalk, este rol incluye una política de confianza que permite a Elastic Beanstalk asumir el rol de servicio. Las dos políticas administradas antes mencionadas en este tema también se asocian al rol.

**API de Elastic Beanstalk**  
Puede crear un entorno mediante la acción `CreateEnvironment` de la API de Elastic Beanstalk. Si no especifica un rol de servicio, Elastic Beanstalk crea un rol vinculado a servicios de supervisión. Se trata de un tipo único de rol de servicio predefinido por Elastic Beanstalk para incluir todos los permisos que el servicio necesita para llamar a Servicios de AWS otros en su nombre. El rol vinculado al servicio está asociado a su cuenta. Elastic Beanstalk lo crea una vez y, a continuación, vuelve a utilizarlo al crear entornos adicionales. También puede utilizar IAM para crear un rol vinculado al servicio de supervisión de la cuenta con antelación. Cuando su cuenta tiene un rol vinculado al servicio de supervisión, puede utilizarlo para crear un entorno mediante la consola de Elastic Beanstalk, la API de Elastic Beanstalk o la CLI de EB. Para obtener instrucciones sobre cómo utilizar roles vinculados a servicios con entornos de Elastic Beanstalk, consulte [Uso de roles vinculados a servicios para Elastic Beanstalk](using-service-linked-roles.md).

Para obtener más información acerca de los roles de servicio, consulte [Administración de roles de servicio de Elastic Beanstalk](iam-servicerole.md).

# Perfil de instancia de Elastic Beanstalk
<a name="concepts-roles-instance"></a>

Un perfil de instancia es un rol de IAM que se aplica a las instancias de Amazon EC2 que se lanzan en el entorno de Elastic Beanstalk. Cuando se crea un entorno de Elastic Beanstalk, se especifica el perfil de instancia que se utiliza cuando las instancias de EC2 realizan las siguientes acciones:
+ Recuperar [versiones de aplicaciones](concepts.md#concepts-version) de Amazon Simple Storage Service (Amazon S3)
+ Escribir registros en Amazon S3
+ En [entornos integrados de AWS X-Ray](environment-configuration-debugging.md), cargue datos de depuración en X-Ray.
+ En entornos Docker administrados por Amazon ECS, coordine implementaciones de contenedores con Amazon Elastic Container Service (Amazon ECS)
+ En entornos de trabajo, lea desde una cola de Amazon Simple Queue Service (Amazon SQS)
+ En entornos de trabajo, realizan la elección del líder con Amazon DynamoDB
+ En entornos de trabajo, publique las métricas de estado de las instancias en Amazon CloudWatch

## Políticas administradas
<a name="concepts-roles-instance.managed-policies"></a>

Elastic Beanstalk proporciona un conjunto de políticas administradas que permiten a las instancias de EC2 del entorno realizar las operaciones requeridas. Las políticas administradas requeridas para los casos de uso básicos son las siguientes.
+ `AWSElasticBeanstalkWebTier`
+ `AWSElasticBeanstalkWorkerTier`
+ `AWSElasticBeanstalkMulticontainerDocker`

Si su aplicación web requiere acceso a otros servicios adicionales Servicios de AWS, añada declaraciones o políticas administradas al perfil de la instancia que permitan el acceso a esos servicios. Para obtener más información, consulte [Añadir permisos al perfil de instancia predeterminado](iam-instanceprofile.md#iam-instanceprofile-addperms).

## Creación de un perfil de instancia de EC2
<a name="concepts-roles-instance.create-instance-profile"></a>

 Si su AWS cuenta no tiene un perfil de instancia EC2, debe crear uno mediante el servicio de IAM. Después, puede asignar el perfil de instancia de EC2 a los nuevos entornos que cree. Los pasos para **Crear entorno** de la consola de Elastic Beanstalk le proporcionan acceso a la consola de IAM para que pueda crear un perfil de instancia de EC2 con los permisos necesarios. 

También puede crear un perfil de instancia de EC2 accediendo directamente a la consola de IAM, sin pasar por la consola de Elastic Beanstalk. Para ver los pasos detallados para crear un perfil de instancia de EC2 de Elastic Beanstalk en la consola de IAM, consulte [Creación de un perfil de instancia](iam-instanceprofile.md#iam-instanceprofile-create). 

# Política de usuario de Elastic Beanstalk
<a name="concepts-roles-user"></a>

Cree usuarios de IAM para cada usuario que utiliza Elastic Beanstalk para evitar usar la cuenta raíz o compartir credenciales. Como práctica recomendada, conceda solo a estos usuarios permiso para tener acceso a los servicios y las características que necesitan.

Elastic Beanstalk requiere permisos no solo para sus propias acciones de la API, sino también para otros servicios de AWS . Elastic Beanstalk utiliza permisos de usuario para lanzar recursos en un entorno. Estos recursos incluyen instancias de EC2, un equilibrador de carga de Elastic Load Balancer y un grupo de escalado automático. Elastic Beanstalk también utiliza los permisos de usuario para guardar registros y plantillas en Amazon Simple Storage Service (Amazon S3), enviar notificaciones a Amazon SNS, asignar perfiles de instancia y publicar métricas en. CloudWatch Elastic CloudFormation Beanstalk requiere permisos para organizar las implementaciones y actualizaciones de los recursos. También requiere permisos de Amazon RDS para crear bases de datos cuando sea necesario y permisos de Amazon SQS para crear colas para entornos de trabajo.

Para obtener más información sobre las políticas de usuario, consulte [Administración de políticas de usuario de Elastic Beanstalk](AWSHowTo.iam.managed-policies.md).